Alle nutzen Cloud-Dienste. Doch der bewusste Schritt, Daten und Prozesse in die Cloud auszulagern, fällt Unternehmen immer noch schwer. Zu groß ist die Angst, Kontrolle zu verlieren und Datendieben hilflos ausgeliefert zu sein. Dabei sind Systeme keineswegs besser geschützt, nur weil sie auf eigenen Servern laufen. Wenn man es richtig angeht, wird die Cloud IT-Sicherheit und Compliance nicht beinträchtigen, sondern wahrscheinlich deutlich erhöhen.


Artikelserie: Sicherheit und Compliance in der Cloud


Über den Wolken, das ist Allgemeingut, muss die Freiheit wohl grenzenlos sein. Auch in der Cloud, der Datenwolke, können sich unsere Daten fast grenzenlos frei bewegen, mal liegen sie auf diesem, mal auf jenem Server, so genau weiß das niemand. Beim Flug über den Wolken legen wir unser Leben meist ohne große Gedanken in die Hände eines hoffentlich erfahrenen Piloten. Genauso hängt auch die Entscheidung, ob wir unsere Daten in die Cloud auslagern, mehr oder weniger vom Vertrauen darauf ab, dass der Betreiber der Cloud schon verantwortungsvoll mit unseren Daten umgehen wird.

Der Schritt für ein Unternehmen, Daten und Prozesse komplett in die Cloud auszulagern, ist ein großer. Selbst wenn der Server im Keller in den letzten Zügen liegt und drei Mal täglich ausfällt: Allein das Wissen, die Daten im eigenen Haus zu haben, gibt ein Gefühl von Sicherheit, wenn es auch ein Trügerisches ist. Gerade wenn es um Unternehmensdaten geht, die oftmals zu den wertvollsten Assets gehören.

Niemand hat mehr 100% Kontrolle über seine Daten

Dabei hat eigentlich kein Unternehmen mehr wirklich die Hoheit über alle sein Daten: Dokumente werden per E-Mail über externe Server geschickt, über Cloud-Speicherdienste geteilt, man unterhält sich über Chat-Tools, nutzt vielleicht sogar eine SaaS-Lösung fürs Intranet und die Wissensdatenbank. Solche Tools werden meist bedenkenlos genutzt, obwohl niemand weiß, wo deren Anbieter die Server geparkt haben und sich wahrscheinlich niemand die Geschäftsbedingungen durchgelesen hat. Ich kenne auch kaum ein mittelständisches Unternehmen, das wirklich konkrete Regelungen für die Nutzung dieser Dienste erlassen hat, welche Daten wo hochgeladen und geteilt werden dürfen, und welche nicht. Natürlich gibt es besonders wertvolle und heikle Unternehmensdaten, über die mit Argwohn gewacht und die hinter verschlossenen Türen aufbewahrt werden; doch faktisch hat die Verlagerung der Daten in die Cloud (oder zumindest auf extern betriebene Server) im Großteil der Wirtschaft längst begonnen, ohne dass sich jemand mehr oder weniger bewusst dafür entschiedenen hat, ohne dass je der Marschbefehl „Wir gehen in die Cloud“ gegeben wurde.

Ein Betrieb, der zu 100% Kontrolle über seine Daten behalten möchte, müsste sich quasi von der Außenwelt abschotten. Das will keiner, und das ist auch gut so. Es muss auch niemand in die Cloud. Es muss sich nur jedes Unternehmen, das es halbwegs ernst mit der Datensicherheit meint, einmal mit dem Gedanken beschäftigen. Denn beim Evaluierungsprozess – Auslagern ja oder nein – tauchen Fragen auf, die man sich schon längst hätte stellen müssen. Die man bisher ignoriert hat, weil man ja die Daten sicher auf den eigenen Festplatten wähnte.

Ist Ihre Inhouse-Lösung wirklich sicherer als eine Cloud-Lösung?

Das sind Fragen, wie: Ist denn mein aktuelles IT-Konzept wirklich sicher, entspricht es den gesetzlichen Anforderungen (Compliance)? Oder habe ich bisher einfach auf den Admin vertraut, der stets versichert, dass alles läuft? Welche Daten habe ich denn überhaupt, die geschützt werden müssen und wie könnte so ein Schutz aussehen? Wird der Datenschutz bei uns wirklich gelebt oder hört er bei uns auf, nachdem jeder Mitarbeiter die Erklärung dazu unterschrieben hat?

Nicht zuletzt muss sich jeder Betrieb die essentielle Frage stellen, ob er mit den eigenen Ressourcen überhaupt in der Lage ist, ausreichend für Datensicherheit und Datenschutz zu sorgen. Oder ob die kostenbaren Daten nicht bei einem Provider besser aufgehoben wären, der zwar woanders sitzt, der sich aber den ganzen lieben Tag lang und mit riesigem Aufwand nichts anderem widmet als der Sicherheit und Verfügbarkeit der gespeicherten Kundendaten. In mindestens 90% aller Fälle ist die Antwort eindeutig, würde ich meinen.

Die erwähnten Fragen muss sich im übrigen nicht nur die IT stellen und beantworten, sondern vor allem die Geschäftsführung. Denn im Endeffekt haftet sie persönlich für die Einhaltung der gesetzlichen Vorschriften, egal ob die Daten im Haus oder extern lagern, egal ob die Chefs Ahnung haben oder nicht. Sicher nicht das allerangenehmste Thema, zugegeben, gerade deswegen sollte man sich lieber früher als später damit beschäftigen und die Angelegenheit klären.

Auslagerung in die Cloud als Chance, nicht als Bedrohung begreifen

Genauso falsch wie reflexhafte Ablehnung der Cloud wäre eine Auslagerung als Hauruck-Aktion. Schließlich wird allein durchs Verschieben der Daten ja nichts besser. Wenn man seine alten Fehler und Versäumnisse in die Cloud mitnimmt kann das böse enden. Ideal wäre doch, wenn die Auslagerung nicht nur die Kosten senkt, sondern sich gleichzeitig Sicherheit und Compliance Ihrer IT sogar verbessern. Wichtig ist deshalb ein strukturierter und transparenter und gut dokumentierter Entscheidungsprozess, damit man auf Basis von Fakten und ohne Grummeln im Bauch in die Cloud-Zukunft starten kann. Wie so ein Entscheidungsprozess etwa aussehen kann, welche weiteren Fragen es zu klären gibt und welche Möglichkeiten offen stehen, darüber schreibe ich demnächst im zweiten Teil dieses Beitrags.