München, Starnberg, 9./10. Juni 2015 – Hilfestellung durch die Trusted Cloud Initiative des BMWi; Datensicherheit und rechtskonforme Speicherung stehen im Mittelpunkt... 

Zum Hintergrund: Erstmals soll es laut dem BITKOM (KPMG) Cloudmonitor (1) in Unternehmen mehr Cloud-Interessierte als Cloud-Skeptiker geben. Der Verband stellte in seiner Umfrage fest, dass in großen Unternehmen die Nutzung von Cloud-Anwendungen inzwischen zum Alltag gehört, diese aber aus Gründen des Datenschutzes zum überwiegenden Teil in Private Clouds ablaufen. Die IT-Infrastrukturen hierfür sind aber meist nur für große Unternehmen finanzierbar. Public Clouds sind laut dem Report in diesem Zusammenhang noch immer ein Nischenmarkt.

• Dabei wären diese Angebote wegen der wirtschaftlichen Vorteile für kleinere Unternehmen interessant: Outsourcing kann die IT-Kosten senken und ermöglichst es kleinen Betrieben, sich auf ihr Kerngeschäft zu konzentrieren. Das Problem: die Daten müssen sicher und rechtskonform gespeichert bzw. verwaltet werden.
• Die Umfrage zeigt, das genau hier das Problem liegt: Über die Hälfte der Cloud-Nutzer haben Zweifel, ob die Cloud Nutzung den Compliance-Anforderungen ihres Unternehmens entspricht (siehe Anlage unten: Cloud Monitor 2015 – BITKOM – KPMG – PDF Dokument).

Wie läßt sich erkennen, ob Cloud-Angebote für geschäftskritische Daten ein angemessenes Datenschutz-Level bietet?

1. Cloud-spezifische Standardisierungen wie die ISO-Norm 27018 und darauf basierende Zertifikate von unabhängigen Prüfern (z.B. TÜV) sollen Unternehmen diese Sicherheit geben.

2. Ein weiteres und zu den hohen deutschen Datenschutzansprüchen passendes Prüfungsverfahren für die Zertifizierung der ISO-Norm wurde von der Trusted Cloud Initiative des BMWi erarbeitet: das Trusted Cloud Datenschutz Profil (TCDP). Experten aus Wirtschaft, Forschung und Aufsichtsbehörden formulieren objektive Kriterien, mit deren Hilfe sich das Sicherheitsniveau verschiedener Cloud-Dienste in Kürze miteinander vergleichen lässt. Ein Zertifikat nach dem TCDP kann es Unternehmen dann entscheidend erleichtern, die eigenen Kontrollpflichten im Rahmen der Auftragsdatenverarbeitung ohne großen Aufwand zu erfüllen.

Abb. 1: Bildquelle BITKOM KPMG, Cloud Monitor 3/2015, Seite 10 

Hinweis: Weitere Infos finden Sie auch in unserem Beitrag vom 17. März 2015 „Deutsches Cloud-Zertifikat soll Vertrauen in die Wolke erhöhen.“

In der Praxis stehen kleinere-/mittlere Betriebe oft vor der Herausforderung, schnell eine rechtskonforme Lösung für den Datenaustausch mit Kunden, Lieferanten oder Partnern zu finden... Unterstützung liefert hierzu auch das von Experten geschriebene Whitepaper von Sealed-Cloud-Anbieter Uniscon.

• Das Dokument beinhaltet eine Checkliste, worauf Unternehmen achten müssen, wenn sie einen Public-Cloud-Dienst in Anspruch nehmen (2).

Uniscon, ein Unternehmen aus München, hat selbst eine „versiegelte“ Cloud-Technologie entwickelt, die durch rein technische Maßnahmen die Cloud so versiegelt, sodass laut Uniscon nicht einmal der Betreiber des Rechenzentrums an die Daten herankommen soll. Die Technologie wird zwischenzeitlich auch von Wirtschaftsprüfungs-Unternehmen wie PwC im Rahmen des sog. "all4cloud"-Programms empfohlen. Nachfolgend wesentliche Kriterien zur Vorauswahl im Cloud-Markt - basierend auf den drei wichtigsten Analysebereichen des genannen Whitepaper:

• Datensicherheit: Wie sicher sind die Daten im Vergleich zu anderen Angeboten und erfüllen sie alle Sicherheitsanforderungen des Unternehmens.

• Benutzerfreundlichkeit: Datensicherheit und Benutzerfreundlichkeit müssen Hand in Hand gehen, andernfalls finden die Anwender Wege, effizient zu arbeiten, aber die Sicherheitsvorkehrungen zu umgehen.

• Technische Voraussetzungen: Welche Plattformen werden unterstützt, welche Endgeräte können auf die Daten im Rechenzentrum zugreifen und in welcher Qualität sind Apps verfügbar? Welchen Funktionsumfang hat das Angebot und kann dieser bei Bedarf schnell erweitert werden? Ist der Dienst in eigene Prozesse der Firma schnell und einfach integrierbar? Welche Schnittstellen und welche Möglichkeiten zur Integration ohne weitere Programmierung gibt es? Zusätzlich sind laut Uniscon weitere Eckpunkte mit dem Anbieter zu klären, etwa, wie die Weiterentwicklung des Dienstes geplant ist. Gibt es regelmäßige Updates? Liegt eine Roadmap für die Weiterentwicklung vor? Natürlich ist der Preis des Dienstes wichtig. Stehen Kosten und Nutzen im richtigen Verhältnis und bietet der Dienst für den genannten Preis alle Dienste, die das Unternehmen benötigt?

Zitat Dr. Hubert Jäger, Geschäftsführer und Mitgründer der Uniscon GmbH zu den Gründen, warum die Checkliste geschrieben wurde: „Einige Public Cloud Dienste haben sich in Unternehmen in den letzten Jahren oft ungeplant verbreitet... Mitarbeiter und einzelne Abteilungen haben einfach mit der Cloud-Nutzung begonnen, oft ohne Einbeziehung der IT-Abteilung. Wird ein Cloud-Dienst aber als offizielles Werkzeug des Unternehmens genutzt, muss in besonderem Maß auf die Datensicherheit geschaut werden. Unternehmen müssen daher in Zukunft wesentlich zielgerichteter und systematischer mit dem Thema ‚Cloud Computing‘ umgehen. Eine Checkliste und Tipps, worauf der Anwender bei der Auswahl achten muss, kann den Auswahlprozess von Anfang an strukturieren.“

Quellen:

(1) BITKOM Cloudmonitor 

PDF Cloud Monitor 2015 von Achim Berg, BITKOM, Vizepräsident Peter Heidkamp, Partner KPMG Berlin, 6. März 2015

(2) Link zum Anbieter ... Checkliste Uniscon (Hinweis zum Download: es ist eine Registrierung beim Hersteller Uniscon erforderlich)