Alle nutzen Cloud-Dienste. Doch der bewusste Schritt, Daten und Prozesse in die Cloud auszulagern, fällt Unternehmen immer noch schwer. Zu groß ist die Angst, die Kontrolle zu verlieren und Datendieben hilflos ausgeliefert zu sein. Dabei sind Systeme keineswegs besser geschützt, nur weil sie auf eigenen Servern laufen. Wenn man es richtig angeht, wird die Cloud IT-Sicherheit und Compliance nicht negativ beeinträchtigen, sondern wahrscheinlich deutlich erhöhen.

 

Artikelserie: Sicherheit und Compliance in der Cloud

 

Über den Wolken, das ist Allgemeingut, muss die Freiheit wohl grenzenlos sein. Auch in der Cloud, der Datenwolke, können sich unsere Daten fast grenzenlos frei bewegen. Mal liegen sie auf diesem, mal auf jenem Server, so genau weiß das niemand. Beim Flug über den Wolken legen wir unser Leben meist ohne große Gedanken in die Hände eines hoffentlich erfahrenen Piloten. Genauso hängt auch die Entscheidung, ob wir unsere Daten in die Cloud auslagern, mehr oder weniger vom Vertrauen darauf ab, dass der Betreiber der Cloud schon verantwortungsvoll mit unseren Daten umgehen wird.

 

Der Schritt für ein Unternehmen, Daten und Prozesse komplett in die Cloud auszulagern, ist ein großer. Selbst wenn der Server im Keller in den letzten Zügen liegt und drei Mal täglich ausfällt: Allein das Wissen, die Daten im eigenen Haus zu haben, gibt ein Gefühl von Sicherheit, wenn es auch ein trügerisches ist. Gerade wenn es um Unternehmensdaten geht, die oftmals zu den wertvollsten Assets gehören.

 

Niemand hat mehr 100 % Kontrolle über seine Daten

Dabei hat eigentlich kein Unternehmen mehr wirklich die Hoheit über all seine Daten: Dokumente werden per E-Mail über externe Server geschickt, über Cloud-Speicherdienste geteilt, man unterhält sich über Chat-Tools, nutzt vielleicht sogar eine SaaS-Lösung für das Intranet und die Wissensdatenbank. Solche Tools werden meist bedenkenlos genutzt, obwohl niemand weiß, wo deren Anbieter die Server geparkt haben, und sich wahrscheinlich niemand die Geschäftsbedingungen durchgelesen hat. Ich kenne auch kaum ein mittelständisches Unternehmen, das wirklich konkrete Regelungen für die Nutzung dieser Dienste erlassen hat, welche Daten wo hochgeladen und geteilt werden dürfen und welche nicht. Natürlich gibt es besonders wertvolle und heikle Unternehmensdaten, über die mit Argwohn gewacht wird und die hinter verschlossenen Türen aufbewahrt werden; doch faktisch hat die Verlagerung der Daten in die Cloud (oder zumindest auf extern betriebene Server) im Großteil der Wirtschaft längst begonnen, ohne dass sich jemand mehr oder weniger bewusst dafür entschieden hat, ohne dass je der Marschbefehl „Wir gehen in die Cloud” gegeben wurde.

 

Ein Betrieb, der zu 100 % Kontrolle über seine Daten behalten möchte, müsste sich quasi von der Außenwelt abschotten. Das will keiner und das ist auch gut so. Es muss auch niemand in die Cloud. Es muss sich nur jedes Unternehmen, das es halbwegs ernst mit der Datensicherheit meint, einmal mit dem Gedanken beschäftigen. Denn beim Evaluierungsprozess – Auslagern ja oder nein – tauchen Fragen auf, die man sich schon längst hätte stellen müssen. Die man bisher ignoriert hat, weil man ja die Daten sicher auf den eigenen Festplatten wähnte.

 

Ist Ihre Inhouse-Lösung wirklich sicherer als eine Cloud-Lösung?

Das sind Fragen wie: Ist mein aktuelles IT-Konzept wirklich sicher, entspricht es den gesetzlichen Anforderungen (Compliance)? Oder habe ich bisher einfach auf den Admin vertraut, der stets versichert, dass alles läuft? Welche Daten habe ich denn überhaupt, die geschützt werden müssen, und wie könnte so ein Schutz aussehen? Wird der Datenschutz bei uns wirklich gelebt oder hört er auf, nachdem jeder Mitarbeiter die Erklärung dazu unterschrieben hat?

 

Nicht zuletzt muss sich jeder Betrieb die essenzielle Frage stellen, ob er mit den eigenen Ressourcen überhaupt in der Lage ist, ausreichend für Datensicherheit und Datenschutz zu sorgen. Oder ob die kostenbaren Daten nicht bei einem Provider besser aufgehoben wären, der zwar woanders sitzt, sich aber den ganzen lieben Tag lang und mit riesigem Aufwand nichts anderem widmet als der Sicherheit und Verfügbarkeit der gespeicherten Kundendaten. In mindestens 90 % aller Fälle ist die Antwort eindeutig, würde ich meinen.

 

Die erwähnten Fragen muss sich im Übrigen nicht nur die IT stellen und beantworten, sondern vor allem die Geschäftsführung. Denn im Endeffekt haftet sie persönlich für die Einhaltung der gesetzlichen Vorschriften, egal ob die Daten im Haus oder extern lagern, egal ob die Chefs Ahnung haben oder nicht. Sicherlich nicht das angenehmste Thema, zugegeben. Aber gerade deswegen sollte man sich lieber früher als später damit beschäftigen und die Angelegenheit klären.

 

Auslagerung in die Cloud als Chance, nicht als Bedrohung begreifen

Genauso falsch wie die reflexhafte Ablehnung der Cloud wäre eine Auslagerung als Hauruck-Aktion. Schließlich wird allein durch das Verschieben der Daten ja nichts besser. Wenn man seine alten Fehler und Versäumnisse in die Cloud mitnimmt, kann das böse enden. Ideal wäre doch, wenn die Auslagerung nicht nur die Kosten senkt, sondern sich gleichzeitig Sicherheit und Compliance Ihrer IT sogar verbessern. Wichtig ist deshalb ein strukturierter, transparenter und gut dokumentierter Entscheidungsprozess, damit man auf der Basis von Fakten und ohne Grummeln im Bauch in die Cloud-Zukunft starten kann.

 

Wie so ein Entscheidungsprozess aussehen kann, welche weiteren Fragen es zu klären gibt und welche Möglichkeiten offen stehen, darüber schreibe ich im zweiten Teil dieses Beitrags.

Weitere interessante Beiträge: