06.07.2017 Rackspace und Teamdrive im Doppelinterview

Cloud-Anbieter und die Standortwahl

Von: Berthold Wesseler

So mancher Cloud-Provider will mit billigen, unsicheren oder intransparenten Services schnellen Reibach machen. Daher ist die Wahl eines verlässlichen und fachkundigen Cloud-Anbieters absolut wichtig. Dennoch: Die Qualität der Cloud-Services ist nur die eine Seite der Medaille bei der Auswahl eines Providers, die Standortfrage die andere. Gemeint ist nicht nur die eher schlichte Frage nach der Entfernung des Rechenzentrums (und damit der Laufzeit der Signale), sondern auch nach dem Land, in dem das RZ betrieben wird. Denn dessen Gesetzgebung unterliegt das RZ unabhängig vom Firmensitz seines Betreibers – auch beim Datenschutz.

  • „Es gibt viele Faktoren, wie Datenspeicherung nach EU-Recht, Compliance-Richtlinien und verbesserte Latenzzeiten, die dafür sprechen, Daten in eine Cloud zu packen.“ Alex Fürst, Vice President DACH bei Rackspace

    „Es gibt viele Faktoren, wie Datenspeicherung nach EU-Recht, Compliance-Richtlinien und verbesserte Latenzzeiten, die dafür sprechen, Daten in eine Cloud zu packen.“ Alex Fürst, Vice President DACH bei Rackspace

  • „Die neue Datenschutz-Grundverordnung sieht vor, dass nicht nur der Cloud-Anbieter für die Einhaltung des Datenschutzes haftet, sondern auch der Nutzer, also der Mittelständler.“ Detlef Schmuck, Geschäftsführer von Teamdrive Systems

    „Die neue Datenschutz-Grundverordnung sieht vor, dass nicht nur der Cloud-Anbieter für die Einhaltung des Datenschutzes haftet, sondern auch der Nutzer, also der Mittelständler.“ Detlef Schmuck, Geschäftsführer von Teamdrive Systems

Bei der Auswahl des Cloud-Providers bleiben folgerichtig 89 Prozent der deutschen IT-Entscheider gerne im Lande; weit abgeschlagen auf der Liste der vertrauenswürdigen Länder folgt mit 11 Prozent der Standort Holland. Auf den nächsten Rängen liegen Japan (10 Prozent) und England (9 Prozent). Dies ergab eine Studie, die iSense im Auftrag von Bitdefender unter Managern in Deutschland, England und den USA (bei Unternehmen mit mehr als 1.000 PCs) durchgeführt hat.

Auch in den anderen Regionen werden aus guten Gründen Cloud-Provider aus dem eigenen Land bevorzugt, doch in Deutschland ist der Abstand besonders groß. Am wenigsten Vertrauen wird insgesamt den Indern entgegengebracht. Nur in Deutschland ist das anders; hier misstrauen deutlich die meisten Manager (54 Prozent) den US-Anbietern.

Das ist auch ein Grund dafür, warum Microsoft mit der Telekom das Datentreuhändermodell entwickelt hat. Amazon dagegen verfolgt die Strategie, weltweit identische Services anzubieten, die natürlich jeweils den nationalen Gesetzen genügen. Andere US-Anbieter bestärken die IT-Chefs jedoch in ihrem Misstrauen, weil sie weiter auf Intransparenz setzen. Ein gutes Beispiel dafür ist der CRM-Pionier Salesforce, der unsere drei einfachen Fragen nicht beantworten wollte.

 

Anders der amerikanische Cloud-Pionier Rackspace und das Hamburger Unternehmen Teamdrive, die beide großen Wert auf Transparenz legen. Sehr aufschlussreich sind die höchst unterschiedlichen Akzentsetzungen bei ihren Antworten >>>


ITM: Welche Rolle spielt es für einen Mittelständler, dass das Rechenzentrum bzw. auch der Firmensitz seines Cloud-Providers in Deutschland lokalisiert ist?
Detlef Schmuck:
Ein Unternehmen, das dem Recht der Bundesrepublik Deutschland unterliegt, sollte in jedem Fall penibel darauf achten, dass sich sowohl der Rechtssitz als auch das Rechenzen-trum seines Cloud-Anbieters in Deutschland befinden. Wohlgemerkt: Der Sitz alleine reicht nicht, es muss verbindlich vereinbart sein, dass auch sämtliche Daten ausschließlich in Deutschland gespeichert und verarbeitet werden.

Mit der neuen Datenschutz-Grundverordnung – kurz DSGVO –, die im Mai nächsten Jahres in Kraft tritt, wird dies noch wichtiger. Sie sieht nämlich vor, dass nicht nur der Cloud-Anbieter für die Einhaltung des Datenschutzes haftet, sondern auch der Nutzer, also der Mittelständler. Daher gilt es, den Anbieter besonders sorgfältig auszuwählen. Einzig die DSGVO zählt. Viele US-amerikanische Kollaborationsplattformen werben mit Zertifizierungen wie CSA Star Level 2, ISO 27017 und ISO 22301, um darüber hinwegzutäuschen, dass ihre Services dem deutschen Datenschutz nicht genügen. Wer darauf hereinfällt, trägt spätestens ab Mai 2018 die Konsequenzen.

Alex Fürst:
Die wichtigsten Kriterien eines RZ bei einem mittelständischen Unternehmen waren schon immer Leistung, Verfügbarkeit, Sicherheit und Kosteneffizienz. Hinzu kommen im Zuge der Digitalisierung weitere Anforderungen an Flexibilität, Skalierbarkeit und Agilität. Aber auch Fragen der Sicherheit und Compliance-Vorgaben sind von zentraler Bedeutung. Vor allem der deutsche Mittelstand hat oftmals gar nicht die Mittel und Ressourcen, die Daten selbst zu hosten und im Zuge der digitalen Transformation sinnvoll nach und nach in die Cloud zu verlagern. Das ist auch nicht für jeden sinnvoll.

Deshalb sind eine individuelle Beratung und die Unterstützung durch einen vertrauenswürdigen Partner mit langjähriger Expertise von zentraler Bedeutung. Es gibt viele Faktoren, wie Datenspeicherung nach EU-Recht, Compliance-Richtlinien und deutlich verbesserte Latenzzeiten, die dafür sprechen, Daten in eine Cloud zu packen, die in Deutschland gehostet wird.

Wir gehen genau diesen Schritt. Im Sommer dieses Jahres eröffnen wir unser erstes Rechenzentrum in Frankfurt am Main. Wir sehen einen ganz klaren Mehrwert für unsere Kunden und investieren ganz massiv in den deutschen Markt – neben der RZ-Eröffnung auch in unser Münchner Office und in das Onboarding neuer Mitarbeiter.

ITM: Was raten Sie Mittelständlern aus Sicherheitsperspektive generell bei der Nutzung von Cloud-Services? Gibt es hier wirksame Maßnahmen, die vor Datenverlust und Ausspähung schützen?
Fürst:
Gespräche mit erfahrenen und potentiellen Cloud-Anwendern zeigen immer wieder dasselbe: Es sind vor allem Bedenken in puncto Compliance und IT-Sicherheit, die den Einsatz der Cloud verhindern oder zumindest verzögern, weil sich Unternehmen schwertun, ihre sensiblen Daten – vermeintlich – aus der Hand zu geben. Zu Beginn der Entwicklung einer Cloud-Strategie sollten sie daher analysieren, welche Applikationen und welche Daten welchen Compliance-Anforderungen unterliegen – denn hier gibt es mehr Alternativen als nur „ganz oder gar nicht“.

Schmuck: Der Mittelständler muss im Detail wissen, wer auf welche Daten zugreifen kann. Die höchste Sicherheit und Nachvollziehbarkeit stellen eine Ende-zu-Ende-Verschlüsselung, ein Zero-Knowledge-System und eine hybride Datenspeicherung dar. Damit kann sichergestellt werden, dass niemand – auch nicht der Cloud-Provider – Zugang zu den entschlüsselten Daten bzw. zum Schlüssel selbst hat.

Das bedeutet, dass nicht nur der Anbieter die Daten nicht entschlüsseln und somit auch nicht lesen kann, sondern auch kein Geheimdienst und keine sonstige Behörde, nicht einmal im Falle einer behördlichen Anordnung. Zudem ist auch aus Sicherheitsüberlegungen heraus zu hybriden Cloud-Services zu raten. Hierbei werden die Daten sowohl in der Cloud als auch auf lokalen Rechnern gehalten. Wenn die Daten an einer Stelle kompromittiert oder gelöscht werden, sollten die Daten in jedem Fall leicht wiederbeschaffbar sein. Solch eine Lösung schützt dann vor Fehlbedienung und auch vor Virenmanipulation.

ITM: Manche Experten empfehlen die Daten zu verschlüsseln, bevor sie in die Cloud gehen. Was halten Sie davon?
Schmuck:
Wie gesagt: Eine Ende-zu-Ende-Verschlüsselung ist das Optimum für Sicherheit. Meist werden die Daten nur verschlüsselt übertragen und später verschlüsselt gespeichert. Weiterhin gibt es ein immer größer werdendes Risiko, dass unverschlüsselte Daten vom Provider systematisch überwacht und ausgewertet werden. Hier ist besondere Vorsicht gefordert. Manchmal wird solch eine Überwachung der Daten verheimlicht – und manchmal als Service-Feature deklariert, ohne dass der Kunde detailliert Kenntnis über die Art, Zweck und den Umfang der Überwachung vollständig aufgeklärt wird. Zumindest besteht in solchen Systemen immer eine Gefahr des Missbrauchs der Cloud-Anbieter. Durch immer leistungsfähigere „Künstliche Intelligenz“ lassen sich Bilder und Texte beliebig auswerten.

Ebenso wichtig ist eine 2-Faktor-Authentifizierung, bei der für jeden Zugang zu den Daten zwei Hürden überwunden werden müssen. Beispiel: Nach dem Zugangsversuch mittels Passwort im Web wird auf eine  hinterlegte Mobilfunknummer eine PIN gesendet, die zusätzlich ins Web eingegeben werden muss, um die Zugangsberechtigung nachzuweisen. Es gibt also durchaus wirksame Sicherheitsverfahren. Aber man muss sie natürlich zur Anwendung bringen.

Fürst: Datenverschlüsselung ist immer sinnvoll, hängt aber natürlich immer von den Daten selbst und deren Einsatz ab. Beim Einsatz von Cloud-Lösungen im B2C-Umfeld wie Google Drive oder Dropbox ist eine Verschlüsselung vorab in jedem Falle zu empfehlen. Insbesondere Start-ups und kleinere Unternehmen nutzen diese Tools auch im Unternehmenseinsatz für Collaboration-Zwecke. Hier ist Vorsicht geboten.

Bildquelle: Rackspace / Teamdrive

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH