Compliance, Verträge, Sicherheit beim Sourcing

Gefahren im Cloud Computing

Die Nutzung von Ressourcen via Cloud Computing wird derzeit viel diskutiert. Nachfolgend einige Hinweise für den CFO und IT-Leiter, wo rechtlichen Fragen und Gefahren lauern.

von Werner Kurzlechner, am 16. März 2010

Cloud Computing – das klingt in CFO-Ohren erst einmal gut. Schließlich kann der Betrieb von Applikationen, Services und Infrastruktur über einen Provider die IT-Kosten ohne Zweifel senken. Beim Grübeln über diese Spar-Option beschleichen einen Finanzchef aber Zweifel: Wie ist es „in der Wolke“ eigentlich um die Compliance und Sicherheit bestellt? Wird am Ende alles teurer, weil rechtliche Auflagen nur schwer zu erfüllen sind?

Heikler als Outsourcing

Diese Sorgen sind – leider – durchaus berechtigt. Letztlich handelt es sich beim Cloud-Computing um eine Form des Auslagerns, was stets mit juristischen Tücken verbunden ist. Rechtsexperten halten die Anforderungen zur Einhaltung von Compliance-Vorgaben beim Cloud Computing für höher als bei Outsourcing, Offshoring oder Managed Services. Der Grund: Eine direkte Steuerung des Providers ist nicht möglich (hören Sie auch Tipps der Analysten von Gartner für Ihre Sourcing-Strategie).

Folgende Punkte sind deshalb zu beachten:

1. Verschiedene Modelle des Cloud Computing

Grundsätzlich sollte man über die Anbieter wissen, dass Wolke nicht gleich Wolke ist. Es gibt verschiedene Service- und Einsatz-Modelle, von denen die Kontrollmöglichkeiten für Kunden abhängen. Gibt ein Unternehmen seine Infrastruktur an einen Cloud-Computing-Provider, ist der Grad an Einflussmöglichkeiten gering. Besser sieht es aus, wenn nur einzelne Anwendungen in der Wolke gespeichert werden.

Zudem gibt es unbewohnte und bevölkerte Wolken: solche, die exklusiv vom Kunden in Anspruch genommen werden, und solche, die viele Firmen gleichzeitig nutzen. Über die Bedingungen in einer „private cloud“ lässt sich besser verhandeln als über jene in einer „public cloud“. So ist es beispielsweise in „public clouds“ wesentlich schwieriger, Verwundbarkeits-Scans durchzusetzen, weil die üblichen Verträge den Kunden hier einschränken.

2. Speicherort stets relevant

Bei Adressen auf den Cayman Islands werden Außenstehende hellhörig. Deshalb will ein auf Seriosität bedachtes Unternehmen mit solchen Anschrift gar nicht erst in Verbindung gebracht werdenn. Solche regionalen Erwägungen gilt es auch zu berücksichtigen, wenn Daten in der Wolke gespeichert werden sollen. Es kommt in hohem Maße darauf an, wo dies geschieht. Dabei sind auch klare gesetzliche Vorgaben zu befolgen.

Stellen Sie also in jedem Fall sicher, dass Ihr Provider Ihnen mitteilt, wo Ihre Daten physisch gelagert werden. Am einfachsten ist es, wenn dies in Deutschland oder innerhalb der EU der Fall ist. Es gibt Anbieter, die das garantieren. Außerhalb der EU-Grenzen steigen die Risiken eines Datenverlustes oder fehlender Verfügbarkeit der Daten. Außerdem lässt das deutsche Datenschutzrecht die Verarbeitung von Personendaten außerhalb der EU nicht zu. Zu gewährleisten ist außerdem, dass das Finanzamt jederzeit Zugriff auf relevante Daten hat – also auch das Steuerrecht im Blick behalten!

3. Besondere Vorsicht bei sensiblen Daten in der Cloud

Überhaupt sollte genau überlegt werden, welche Anwendungen aus wirtschaftlichen und technischen Gründen für eine Auslagerung in Frage kommen sowie welche Daten und Informationen als kritisch einzuordnen sind. Möglicherweise eignen sich bestimmte Daten aus rechtlichen Gründen schlichtweg nicht fürs Cloud Computing, auch wenn es finanziell attraktiv erscheint. Vorsicht ist beispielsweise geboten bei Gesundheitsdaten, Steuerdaten und im Umfeld von staatlichen Organisationen.