Auswahlkriterien für Cloud-Services

Cloud-Computing-Verträge sorgsam prüfen

Interview mit Thomas Gebhardt, Vorstandsvorsitzender bei Gebhardt Sourcing Solutions, und Pirol Yilmaz, Regionalleiter Mitte bei dem Stuttgarter IT-Dienstleister, über wichtige Kriterien für die Auswahl eines Cloud-Service-Providers

  • Thomas Gebhardt, Gebhardt Sourcing Solutions

    Thomas Gebhardt, Vorstandsvorsitzender bei Gebhardt Sourcing Solutions

  • Pirol Yilmaz, Gebhardt Sourcing Solutions

    Pirol Yilmaz, Regionalleiter Mitte bei Gebhardt Sourcing Solutions

ITM: Herr Yilmaz, sollte ein mittelständisches Unternehmen, das mit einem Cloud-Provider zusammenarbeiten möchte, beim Vertragsabschluss vor allem achten?
Pirol Yilmaz:
Es gilt, auf verschiedene Aspekte zu achten:

· Vertrag nach europäischem Recht mit Gerichtsstandsbestimmung
· Regelungen zum Eigentum der verarbeiteten Daten
· Regelungen zum Datenschutz
· Regelungen im Hinblick auf das Ende der Vertragsbeziehungen (Übertragung an neuen Dienstleister, Mitwirkungsleistungen etc., Schnittstellen, Vernichtung oder Aufbewahrung von Altdaten etc.)
· Einhaltung geltender Gesetze (BDSG und weitere einschlägige Gesetze, je nach Themengebiet oder Branche)
· Laufzeiten, Kündigungsfristen
· Regelungen zur Bezahlung
· Servicelevel
· Einsichtnahme- bzw. Auditrechte
· Nachweis über vorhandene bzw. erforderliche Zertifizierungen
· Regelungen zu Haftung und Schadensersatz
· Regelungen zu Leistungsübergabepunkten
· Regelungen zu Mitwirkungsleistungen
· Regelungen zu „Overbooking“
· Regelungen zu Ort der Datenverarbeitung und der Datenhaltung

ITM: Herr Gebhardt, welche Dinge sollte man beim Vertragsabschluss tunlichst vermeiden, um ein späteres, böses Erwachen zu vermeiden?
Thomas Gebhardt:
Man sollte nicht ungeprüft die Standardverträge des Providers akzeptieren sowie eigene Verhandlungspositionen leichtfertig aufgeben. Desweiteren sollte man nicht ohne professionelle Begleitung und Unterstützung (fachlich und/oder juristisch) in die Auswahl und Verhandlung gehen.

ITM: Welche Vertragsstrafen finden in der Regel auch beim Cloud Computing Anwendung?
Gebhardt:
Grundsätzlich die gleichen wie bei klassischen Outsourcing-Verträgen. Die Unterschiede treten bei der Art und Form der Cloud-Services auf. Überdies sind bei hochgradig standardisierten Services des Providers die Möglichkeiten und Spielräume eher begrenzt und beziehen sich z.B. auf die Verfügbarkeit, Performance und vielleicht noch auf die Erreichbarkeit des Supports. Die Absicherung durch Vertragsstrafen ist, sofern durchsetzbar, unbedingt zu empfehlen. Nicht zuletzt sollte die Bonität des Cloud-Anbieters im Vorfeld geprüft werden.

ITM: Wie kann das Anwenderunternehmen sichergehen, dass der Cloud-Provider bei Vertragsverstößen seinen Pflichten nachkommt?
Gebhardt:
Eine echte Garantie gibt es nicht – genauso wenig wie bei einem klassischen Outsourcing-Dienstleister. Man kann aber das Risiko minimieren, indem man im Vorfeld den Provider sorgfältig auswählt, Referenzen einholt, Bonität prüft, bzw. Referenzgespräche bzw. -besuche führt und ansonsten alle Regelungen schriftlich fixiert und Verstöße mit entsprechenden „Sanktionen“ belegt.

ITM: Stichwort Migration: Worauf sollten IT-Verantwortliche, die ihre IT in die Cloud verlagern wollen, hinsichtlich Interoperabilität bzw. Datenkonsistenz achten?
Pirol Yilmaz:
Nicht-technisch gesprochen: Das alle Systeme miteinander kommunizieren können. Das setzt möglicherweise den Einsatz bzw. die Nutzung bestimmter, marktgängiger Soft- und Hardware ein. Entscheidend dabei ist, dass das nicht nur im Moment der initialen Übertragung der Fall ist, sondern auch künftige Veränderungen berücksichtigt, z.B. aufgrund des technologischen Fortschritts, aktuell bei auslagernden Unternehmen laufenden Projekten etc. Die Datenkonsistenz muss durch entsprechende Verfahren sichergestellt und deren Wirksamkeit geprüft werden. Wichtig ist daneben aber die Gewährleistung der Integrität und Authentizität der Daten.

ITM: Inwieweit sollten die Daten beim Weg bzw. bei der Bearbeitung in die Cloud verschlüsselt werden?
Yilmaz:
Sofern möglich, am besten immer! Je nach Art und Kritikalität kann man sicherlich variieren – z.B. wenn anonymisierte Testdaten übertragen werden sollen weniger, sonst mehr, aber nie ohne.

ITM: Mit welchen kryptologischen Verfahren sollte man hierbei arbeiten?
Gebhardt:
Mindestens mit einer Verschlüsselung von AES-265.

ITM: Welche Verschlüsselungstechniken versprechen den größten Schutz, oder anders gefragt: An welchen scheitern selbst ausländische Spähattacken?
Gebhardt:
Nach Ansicht von Experten sind PGP und OTR derzeit auch von der NSA nicht lesbar.

ITM: Wie kann man vollkommen sichergehen, dass ein Cloud-Service-Provider nach Vertragsende auch wirklich alle Daten des Anwenderunternehmens löscht? Und dies auch noch sicher sowie datenschutz-/rechtskonform?
Yilmaz:
Hierzu zählen unter anderem folgende Punkte:

· Vertragliche Reglungen
· Verfahren bzw. Konzept vorlegen lassen und prüfen
· Durchführung mit Nachweis belegen lassen
· Gegebenenfalls prüfen oder prüfen lassen, z.B. durch Wirtschaftsprüfer
· Vertragsstrafen bei Verstößen


©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok