Die Rolle von Datenschutz und Sicherheit Die Vertrauensfrage im Cloud-War der Hyperscaler

Vertrauen gehört zu den wichtigsten Faktoren für die Kundengewinnung und Kundenbindung, das wissen auch die großen Cloud-Anbieter. Dabei kommt den Fragen nach Datenschutz und Datensicherheit eine besondere Rolle zu. Wer hier punkten kann, hat die Nase vorn im Cloud-War. Innerhalb der EU ist dies aber nicht einfach, wie ein Blick auf Google, AWS und Azure zeigt.

Anbieter zum Thema

Vertrauen ist ein zentrales Auswahlkriterium für Kunden und damit entscheidende Ressource für die Geschäftsentwicklung der Cloud-Anbieter.
Vertrauen ist ein zentrales Auswahlkriterium für Kunden und damit entscheidende Ressource für die Geschäftsentwicklung der Cloud-Anbieter.
(Bild: Jo Panuwat D - stock.adobe.com)

Umfragen wie der Cloud-Monitor 2021 von Bitkom Research zeigen es immer wieder: Bevor Unternehmen Daten in die „Wolke“ verlagern, wollen sie wissen, ob sie dem Cloud-Anbieter vertrauen können. So besagt der Cloud-Monitor 2021: Wichtigste Kriterien bei der Auswahl eines Cloud-Dienstleisters sind für die Cloud-Nutzer und diejenigen, die den Einsatz planen oder darüber diskutieren, die Leistungsfähigkeit und Stabilität der Systeme (89 Prozent) sowie Vertrauen in die Sicherheit und Compliance des Cloud-Providers (86 Prozent). Drei Viertel (75 Prozent) achten darauf, dass die Rechenzentren im Rechtsgebiet der EU stehen.

Betrachtet man die genannten Kriterien, haben sogar die anderen Entscheidungsfaktoren mit Vertrauen zu tun, denn ein vertrauenswürdiger Anbieter verhindert nicht nur den Datenmissbrauch und hält sich an alle Regeln und Gesetze, der Cloud-Dienst ist zudem leistungsstark genug und läuft stabil. Auch der Cloud-Standort im Rechtsgebiet der EU hat mit der Vertrauensfrage zu tun, wenn es um Cloud-Anwendende aus dem EU-Raum geht.

Die Cloud braucht Digital Trust

Marktforschungsinstitute bestätigen die große Bedeutung von Vertrauen bei der Digitalen Transformation. „Trust“ ist zum Beispiel aus Sicht von IDC eine entscheidende Ressource, denn Vertrauen ist nicht nur Basis für Geschäfte, wenn es von Kunden entgegengebracht wird, sondern auch für Business-Ökosysteme und Innovationen mit Partnern.

Leistungsfähigkeit und Sicherheit sind die wichtigsten Kriterien bei der Anbieter-Auswahl, so der Cloud-Monitor 2021 von Bitkom. Ob man einen Anbieter für sicher genug hält, hat mit Vertrauen zu tun. Doch man muss auch Nachweise verlangen.
Leistungsfähigkeit und Sicherheit sind die wichtigsten Kriterien bei der Anbieter-Auswahl, so der Cloud-Monitor 2021 von Bitkom. Ob man einen Anbieter für sicher genug hält, hat mit Vertrauen zu tun. Doch man muss auch Nachweise verlangen.
(Bild: Bitkom)

Die Ziele bzw. potenziellen Ziele, die Unternehmen in Trust-Programmen sehen, sind aktuell noch sehr pragmatisch und kurzsichtig ausgerichtet und zielen meist eher auf den Datenschutz (25 Prozent) oder den Schutz sensibler Daten (22 Prozent) und weniger auf den strategischen Aspekt der Wirtschaftlichkeit im Sinne von Umsatz und Kundentreue (neun Prozent), so die Marktforscher. IDC ist fest davon überzeugt, dass Trust zu einem immer wichtigeren Business Asset wird, dessen Schutz extrem hohe Priorität besitzt und dessen Verlust kritisch für Unternehmen sein kann.

Im Cloud-Wettbewerb geht es um Vertrauen

Betrachtet man die für die Unternehmen besonders wichtigen Punkten bei Digital Trust, also den Datenschutz und die Datensicherheit, drängt sich bei den US-Cloud-Anbietern Google, AWS und Azure sofort der Schutz personenbezogener Daten in den Vordergrund. Wir erinnern uns: Für den Datenaustausch mit den USA müssen besondere Schutzmaßnahmen ergriffen werden. Unternehmen und Behörden können Daten nicht mehr auf der Grundlage des Privacy Shield übermitteln, den der EuGH (Europäische Gerichtshof) für unwirksam erklärt hat.

Der Bundesdatenschutzbeauftragte Professor Kelber erklärte dazu: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.“

Cloud-Anbieter wollen Vertrauen stärken

Die Hyperscaler haben darauf reagiert und versuchen mit vielen Mitteln, eine Vertrauensstellung bei den Cloud-Nutzern in der EU zu behalten oder aber (wieder) zu erlangen. Man muss nicht lange suchen, um Aussagen zu Compliance, Datenschutz und Sicherheit bei den Hyperscalern zu finden.

AWS hat ein spezielles DSGVO-(Informations)zentrum. Beispiele für Aussagen sind: „Sie erhalten mit AWS die umfassendsten Compliance-Kontrollen. AWS unterstützt mehr Sicherheitsstandards und Compliance-Zertifizierungen als jedes andere Angebot, darunter PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2 und NIST 800-171, und hilft Kunden damit, Compliance-Anforderungen für nahezu jede Regulierungsbehörde der Welt zu erfüllen.“

Zudem hat AWS verkündet, dass man 52 Dienste als im Einklang mit dem Verhaltenskodex für Cloud-Infrastruktur-Dienstanbieter in Europa (CISPE-Kodex) deklariert hat. „Dies bietet unseren Kunden eine unabhängige Verifizierung und ein zusätzliches Maß an Sicherheit, dass unsere Cloud-Dienste in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) genutzt werden können“, so das AWS-Statement. Nicht zuletzt hat Amazon Web Services (AWS) die Eröffnung von zwei neuen AWS Local Zones in München und Berlin angekündigt. Diese ergänzen die bestehende Infrastruktur in Deutschland, einschließlich der AWS Region Frankfurt und den Edge-Standorten in Berlin, Düsseldorf, Hamburg, Frankfurt und München.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Im Microsoft Trust Center findet man die zentrale Aussage: „Vertrauen ist die Basis unserer Produkte und Dienste“. Im Azure Compliance Hub heißt es zudem: „Profitieren Sie von mehr als 90 Compliancezertifizierungen, von denen über 50 Zertifizierungen speziell für globale Regionen und Länder wie die USA, die Europäische Union, Deutschland, Japan, das Vereinigte Königreich, Indien und China gelten. Und erhalten Sie mehr als 35 Complianceangebote, die speziell auf die Bedürfnisse von Schlüsselbranchen zugeschnitten sind, darunter Gesundheit, Behörden, Finanzen, Bildung, Fertigung und Medien.“

Google erklärt zum Beispiel: „Google ist ein Unternehmen, das untrennbar mit der Cloud verknüpft ist. Deswegen sind wir bestens mit den Sicherheitsproblemen vertraut, die Unternehmen erwarten, die ihre Geschäftssysteme in die Cloud verlagern. Hinter Google steckt dieselbe Infrastruktur wie hinter unseren Diensten für Unternehmen. Somit profitieren unsere Kunden von denselben Schutzmechanismen, die wir für uns selbst entwickelt und täglich im Einsatz haben.“

Zum Datenschutz sagt Google: „Der Schutz der Daten der Google Cloud Platform- und Google Workspace-Kunden hat für uns einen hohen Stellenwert und wird durch unsere Datenschutzvereinbarungen für Unternehmen formalisiert, die unseren Umgang mit Sicherheit und Datenschutz regeln.“ Google beschreibt auch das eigene Vorgehen bei dem Einsatz der neuen Standardvertragsklauseln der EU.

Auch Security-Funktionen werden immer weiter ausgebaut

Die bereits umfangreichen Sicherheitsfunktionen der Cloud-Anbieter werden noch erweitert, zweifellos auch, um das Vertrauen der Nutzenden weiter zu stärken, darunter:

AWS Security Hub hat 13 neue Kontrollen für seinen Foundational-Security-Best-Practice-Standard (FSBP) veröffentlicht, um die Cloud-Sicherheitsstatus-Verwaltung (CSPM) der Kunden zu verbessern. Diese Kontrollen führen vollautomatische Prüfungen gegen bewährte Sicherheitsmethoden für Amazon CloudFront, Amazon EC2, Amazon OpenSearch, Amazon Relational Database Service (RDS), Amazon Simple Storage Service (S3) und AWS Virtual Private Network (VPN) durch.

Die Azure Global Compliance Map kann man durchaus als vertrauensbildende Maßnahme einstufen.
Die Azure Global Compliance Map kann man durchaus als vertrauensbildende Maßnahme einstufen.
(Bild: Microsoft)

Microsoft kündigt ebenso Erweiterungen seines Security-Portfolios an: Die nativen Funktionen von Microsoft Defender for Cloud (früher Azure Security Center und Azure Defender) für die Verwaltung von Security-Workloads sind künftig auch für die Google Cloud Platform (GCP) verfügbar. Nach der Übernahme von CloudKnox Security im vergangenen Jahr startet Microsoft die Preview des CloudKnox Permissions Management, für den Einblick in Identitäten, Nutzende und Workloads in allen angeschlossenen Clouds, mit automatisierten Funktionen, die den Zugriff mit den geringsten Privilegien durchsetzen und eine auf Machine Learning basierende Überwachung nutzen, um verdächtige Aktivitäten zu erkennen und zu beheben.

Bemerkenswert mit Blick auf den Wettbewerb ist, dass zum Beispiel diese neuen Azure-Security-Funktionen auch für die Clouds der Mitbewerber genutzt werden können. Das ist aber kein Widerspruch zum Cloud-War, im Gegenteil. So meldet Microsoft: „Neben Azure und AWS deckt Microsoft damit als einziger Anbieter auch die dritte große Cloud-Plattform ab. Zur Unterstützung der GCP gehören unter anderem ein vereinfachtes Onboarding sowie mehr als 80 Empfehlungen zur Absicherung von Multi-Cloud-Umgebungen.“

Hyperscaler strecken sich

Es zeigt sich: Der Vertrauensfaktor im Cloud-War führt dazu, dass die großen Anbieter sehr viel tun, um die Compliance-Vorgaben in der EU so weit wie möglich zu erfüllen. Das gilt insbesondere für den Datenschutz. Im Bereich der Sicherheit versucht man, immer noch besser als der Mitbewerber zu sein. Das sind natürlich erfreuliche Entwicklungen, denn von mehr Sicherheit kann man als Cloud-Nutzer nie genug bekommen.

(ID:48257556)