Cloud Computing: Drum prüfe, wer sich länger bindet

Vertragsgestaltung mit dem Cloud-Anbieter

Was geht, was geht nicht? Um böse Überraschungen zu vermeiden, sollten Mittelständler bei der Auswahl ihres Cloud-Service-Providers besser auf das Kleingedruckte innerhalb des Cloud-Vertrags achten.

Drum prüfe, wer sich länger bindet – Mittelständler sollten auf das Kleingedruckte achten, bevor sie einen Vertrag mit dem Cloud-Service-Provider schließen.

Egal ob Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS) – die Spielarten des Bezugsmodells sind vielfältig. Dabei gibt es im Cloud Computing je nach Service oftmals kaum Spielraum für spezifische Kundenwünsche. „Insbesondere bei hochgradig standardisierten Services der Provider sind die Möglichkeiten eher begrenzt und beziehen sich zumeist allein auf die Verfügbarkeit, Performance und Erreichbarkeit des Supports“, erklärt Thomas Gebhardt, Vorstandsvorsitzender bei dem IT-Dienstleister Gebhardt Sourcing Solutions. Als Paradebeispiel dienen hier etwa die auf Masse ausgelegten Infrastruktur- und Speicherdienste von Amazon, Dropbox, Google & Co. Greift man auf diese Webdienste zurück, muss man als Anwender nehmen, was man kriegt – individuelle Vertragsinhalte sind absolute Fehlanzeige.

Anders verhält es sich bei auf den B2B-Bereich spezialisierten Cloud-Service-Anbietern. Hierzu zählen etwa klassische IT-Dienstleister wie Comparex, Pironet NDH, QSC oder die Telekom, die ihr Outsourcing-Portfolio mittlerweile auch um Cloud-Services ergänzt haben. Oder bei den großen IT-Unternehmen wie HP, IBM, Microsoft und SAP, die ihr Angebot ebenfalls aus der Wolke heraus anbieten. Nicht zuletzt tummelt sich insbesondere im Software-as-a-Service-Bereich eine Vielzahl von Anbietern unterschiedlicher Systeme, etwa für Finanzsoftware, Customer Relationship Management (CRM) oder Dokumentenmanagement.

Den passenden Cloud-Provider finden

Spielen die IT-Verantwortlichen mittelständischer Betriebe mit dem Gedanken, ihre Infrastrukturen oder Softwaresysteme teilweise oder gar gänzlich in die Cloud zu verlagern, sollten sie sich bei der Auswahl des passenden Providers genügend Zeit nehmen, um die verschiedenen Angebote zu sondieren sowie auf Herz und Nieren zu prüfen. „Im Rahmen der anschließenden Verhandlungen sollte man weder ungeprüft die Standardverträge eines Providers akzeptieren noch eigene Verhandlungspositionen leichtfertig aufgeben“, rät Thomas Gebhardt. Und Ingo Gehrke, Mitglied der Geschäftsleitung bei EMC Deutschland, ergänzt: „Grundsätzlich können die Anwenderunternehmen gegenüber Cloud-Anbietern die gleichen Ansprüche stellen, die sie aus klassischen IT-Verträgen kennen.“ Eine der wenigen Ausnahmen seien die eingangs erwähnten Amazon, Dropbox, Google & Co., deren Cloud-Dienste über ein unpersönliches Vertragsverhältnis allein via Internet bezogen werden.

Im nächsten Schritt gilt es, die Liste wichtiger Auswahlkriterien für Cloud-Provider abzuarbeiten. Dabei fallen mehrere kritische Punkte ins Gewicht: „Mittelständler sollten zunächst darauf achten, einen seriösen Anbieter zu wählen, der seine Anwendung in einem zertifizierten Rechenzentrum im Land des Nutzers betreibt. Denn nur dann ist sichergestellt, dass der Rechenzentrumsbetreiber denselben Datenschutzgesetzen wie der Anwender unterliegt“, betont Michael Rosbach, Vorstand bei dem SaaS-Anbieter Scopevisio in Bonn.

Generell scheint der nationale Bezug von immenser Bedeutung zu sein, was auch Thomas Bösel, Leiter Fraud Management sowie Sicherheits- und Datenschutzbeauftragter bei QSC in Köln, bestätigt: „Wir empfehlen unseren Kunden, einen Cloud-Provider auszuwählen, der seinen Firmensitz in Deutschland hat und nur hier Rechenzentren betreibt. Denn US-Cloud-Anbieter unterliegen neben der deutschen auch der Gesetzgebung ihres Heimatlandes und müssen den US-Sicherheitsbehörden auch ohne richterliche Anordnung Zugriff auf personenbezogene Daten gewähren“, berichtet Bösel. Nicht zuletzt unterstreicht Diethelm Siebuhr, CEO des IT-Dienstleisters Nexinto, die Bedeutung der Standortwahl, wenn es um Fragen zu Datenhoheit und -schutz geht. Denn der Standort bedingt die zuständige Gerichtsbarkeit und legt damit fest, ob im Ernstfall deutsches Recht gilt oder nicht.

Neben dem Gerichtsstand bzw. der Art und dem Ort der Datenverarbeitung dürfen in Cloud-Verträgen laut Michael Rosbach folgende weitere Details nicht fehlen: der Gegenstand und die Dauer des Auftrags, Art und Umfang der Nutzung, die technisch-organisatorischen Maßnahmen im Hinblick auf Datensicherheit und Datenschutz, „Ausstiegsszenarien“ sowie die eventuelle Beteiligung von Subunternehmen. „Darüber hinaus sollten konkrete Aussagen zu Verfügbarkeit und Performance sowie Reaktions- und Wiederherstellungszeiten getroffen werden“, ergänzt Rosbach.

Wenn mit betrieblichen Cloud-Anwendungen personenbezogene Daten verarbeitet werden, müssen die Verantwortlichen grundsätzlich eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung abschließen. Denn ungeachtet dessen, ob Daten im Unternehmen, im klassischen Outsourcing oder in der Cloud bearbeitet werden, gilt: „Der Auftraggeber ist weiterhin für die übermittelten personenbezogenen Daten verantwortlich“, ergänzt Thomas Bösel. Gemäß dieser Verantwortung sollten personenbezogene Daten nicht in „irgendeine“ Wolke geschoben werden. „Denn wer ohne ausreichende Prüfung der technischen und organischen Voraussetzungen des Cloud-Providers Anwendungen und Daten verlagert, kann bei Verstößen gegen den Datenschutz laut Bundesdatenschutzgesetz mit einem Bußgeld von bis zu 50.000 Euro bestraft werden“, warnt Bösel.

Auf Vertragsstrafen pochen

Glaubt man Branchenkennern wie Thomas Gebhardt, darf bei der Ausgestaltung der Service Level Agreements (SLAs) eine Absicherung des Anwenders durch Vertragsstrafen nicht fehlen. „Denn entspricht der Cloud-Service nicht der vertraglich geschuldeten Leistung, kann der Kunde Gewährleistungsansprüche geltend machen“, ergänzt Michael Rosbach. Dabei kann das Strafmaß an sich recht vielfältig sein. Zu den gängigen Vertragsstrafen zählen laut Chenxi Wang, Vice President bei Ciphercloud, beispielsweise die Rückerstattung der Nutzungskosten, ein vorzeitiges Vertragsende, Supportgutschriften sowie – wenn auch seltener – direkte Geldstrafen. In diesem Zusammenhang gibt Diethelm Siebuhr jedoch zu bedenken, dass Verstöße nicht nur mutwillig erfolgen, sondern auch aus einer wirtschaftlichen Schieflage des Providers resultieren können. Von daher sei es empfehlenswert, bereits im Vorfeld eine entsprechende Bonitätsprüfung des Providers vorzunehmen. „Die letzte, aber sicherlich unschöne Möglichkeit Vertragsstrafen zu ahnden, ist das Einklagen von Leistungen vor Gericht. Von Vorteil ist es dann erneut, wenn der Provider aus Deutschland kommt und es einen deutschen Gerichtsstand gibt“, betont Siebuhr.
Damit die Anwenderunternehmen überhaupt bemerken, dass ihr Provider gegen Vereinbarungen verstoßen hat, sollte der Vertrag unbedingt Klauseln beinhalten, die festlegen, dass sie bei einer Vertragsverletzung entsprechend benachrichtigt werden. „Speziell dafür können Unternehmen unabhängige Monitoring-Services nutzen. Diese stellen sicher, dass ihr Cloud-Service-Provider die vereinbarten SLAs einhält und keine offensichtlichen Vertragsverstöße stattfinden“, betont Chenxi Wang.

Datensicherheit in der Cloud besitzt Priorität

Wie weiter oben von Thomas Bösel erwähnt, behält der Kunde im Rahmen der „Auftragsdatenbearbeitung“ als Auftraggeber des Cloud-Providers die Hoheit über seine Daten und ist demnach auch für deren Sicherheit verantwortlich. „Von daher muss die Sicherheit der Geschäftsdaten und der gespeicherten Daten, beispielsweise für unterschiedliche Abrechnungsmodelle, während der gesamten Vertragslaufzeit sowie an deren Ende gewährleistet sein“, betont Ralf Kaltenbach, Regional Director bei RSA Germany. Deshalb seien regelmäßige Prüfungen und Protokollierungen auch aus Compliance-Gründen unabdingbar. Nur auf diese Weise lässt sich laut Ralf Kaltenbach die vertragskonforme Nutzung, insbesondere unter Berücksichtigung des Datenschutzes, einhalten. „Desweiteren sollten die Verantwortlichen alle notwendigen Maßnahmen ergreifen, damit die Daten beim Cloud Computing nicht ungeschützt in fremde Hände gelangen“, rät Bösel. Wichtig sei es demzufolge, bereits im Vorfeld zu prüfen, welche Optionen zur Verschlüsselung ein Provider anbietet.

„Sofern möglich, sollten alle Daten beim Weg in die Wolke sowie in der Cloud selbst immer verschlüsselt werden“, betont Pirol Yilmaz, Regionalleiter Mitte bei Gebhardt Sourcing Solutions. Allein der Grad der Verschlüsselung könne je nach Art und Kritikalität der Daten variieren. So erfordere laut Pirol Yilmaz beispielsweise die Übertragung anonymisierter Testdaten nicht den allerhöchsten Schutz.

In dieselbe Kerbe schlägt Michael Rosbach. Auch seiner Ansicht nach ist es äußerst sinnvoll, Daten auf dem Weg in die Cloud sowie bei der dortigen Bearbeitung grundsätzlich zu verschlüsseln. „Eine Verschlüsselung in der Wolke selbst ist jedoch nur möglich, wenn die Daten dort nicht weiterverarbeitet werden, wie dies etwa bei Onlinespeichern der Fall ist. Bei Anwendungen, die Daten in der Cloud verarbeiten – z.B. betriebliche CRM- oder ERP-Systeme –, ist dies nach derzeitigem Stand der Technik (noch) nicht möglich“, bemerkt Rosbach. Allerdings räumt er ein, dass die Verarbeitung verschlüsselter Daten in der Wolke aktuell Gegenstand vieler Forschungsprojekte ist. Glaubt man Chenxi Wang, so sind manche Anbieter sogar schon einen Schritt weiter: Ciphercloud selbst sei einer der wenigen Technologieanbieter, die „die Daten bereits bei der Bearbeitung in der Cloud schützen können“, erklärt Wang. Demnach soll ein spezielles Gateway des Herstellers die Daten z.B. beim Einsatz des CRM-Cloud-Systems Salesforce so verschlüsseln, dass sie sowohl auf dem Weg in die Cloud als auch in der Wolke selbst geschützt sind.

Die unknackbaren Codes

Generell gibt es hinsichtlich einer Verschlüsselung von Unternehmensdaten beim Cloud Computing seitens des Gesetzgebers kaum konkrete Vorgaben. So fordert das Bundesdatenschutzgesetz allgemein eine Verschlüsselung nach „dem Stand der Technik“. „Erst im nächsten Schritt veröffentlicht dazu das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Technischen Richtlinie TR-02102-1 konkrete Einzelheiten“, erläutert Thomas Bösel. Im Rahmen dieser Richtlinie erhalten die Anwender verschiedene Empfehlungen hinsichtlich der Verwendung kryptographischer Verfahren sowie deren Schlüssellängen.
Anhand dieser Vorgaben rät Pirol Yilmaz zu einer Verschlüsselung mit mindestens AES-265-Standard (AES = Advanced Encryption Standard). Einschlägigen Berichten der jüngsten Vergangenheit zufolge könne diese Verschlüsselung jedoch von Geheimdiensten wie NSA oder GCHQ geknackt werden. Dazu erklärt Thomas Bösel: „AES gilt unter Experten als sehr sicher. Das zeigt sich etwa daran, dass in den USA staatliche Dokumente mit der höchsten Geheimhaltungsstufe vor dem Versand mit AES verschlüsselt werden und damit als sehr sicher gelten. Das bedeutet allerdings nicht, dass AES nicht mit sehr hohem Aufwand zu knacken wäre. Dass Nachrichtendienste daran arbeiten, den Entschlüsselungsprozess zu beschleunigen, dürfte als gesichert gelten.“ Anders sieht es hingegen bei Verschlüsselungstechnologien wie PGP (Pretty Good Privacy) und OTR (Off the Record) aus. „Nach Ansicht von Experten sind diese beiden Verfahren derzeit selbst von der NSA nicht lesbar“, berichtet Yilmaz.

Im Gegensatz zu Bösel und Yilmaz will sich Chenxi Wang nicht festlegen, welche Kryptolösung nun den höchsten Schutz bietet. Ihrer Meinung nach sind alle Verschlüsselungstechnologien, wenn sie nur stark genug sind und keine Hintertüren besitzen, in der Lage, Daten vor unbefugtem Zugriff und vor Spähattacken zu schützen – vorausgesetzt, dass der Schlüssel dem Angreifer nicht in die Hände fällt. Um ein solches Horrorszenario zu vermeiden, rät sie Unternehmern, die Daten allein verschlüsselt in der Cloud zu speichern und den Schlüssel selbst zu verwalten. „In diesem Fall haben Cloud-Anbieter von vorneherein keinen Zugriff auf die Daten“, so Wang, und weiter: „Wird der Schlüssel gelöscht, kann die Daten niemand mehr lesen, selbst wenn der Cloud-Anbieter sie nicht aktiv von seinen Speicherplatten entfernt hat.“

Blick auf das Vertragsende

Soweit so gut, doch allein mit der Verschlüsselung ist es mitunter kaum getan. So rät Adam Stewart, Vice President of Engineering bei dem IT-Management-Anbieter Autotask, den Verantwortlichen, sicherzustellen, dass im Cloud Computing sämtliche lokalen Computer über effektive Antivirus- und Malware-Maßnahmen verfügen. Denn laut Stewart kommt es eher vor, dass jemand die Daten stiehlt, nachdem sie übermittelt und entschlüsselt worden sind – und nicht während der Datenübertragung.

Desweiteren sollten die Verantwortlichen neben solchen Sicherheitsaspekten bereits beim Vertragsabschluss dessen Ende im Auge behalten. „Hier gilt es besonders darauf zu achten, wie die Daten wieder aus der Cloud zurückgeholt werden können, zum Beispiel bei einem Providerwechsel“, betont Ingo Gehrke. Und auch Diethelm Siebuhr fordert eine entsprechend gute Vorarbeit: „Die Rückgabe beziehungsweise Löschung von Daten nach Beendigung des Auftrags muss von vorneherein in den SLAs geregelt werden.“ Eine Voraussetzung für eine saubere und schnelle Löschung sei dabei die klare Trennung der Daten nach einzelnen Mandanten, also Anwenderunternehmen oder -gruppen.



Checklisten

1) Worauf mittelständische Unternehmen generell bei der Auswahl eines Cloud-Providers achten sollten:

  • Sicherheitskompetenz: Wie speichert und handhabt der Cloud-Anbieter die Daten seiner verschiedenen Kunden getrennt voneinander? Wie sind die Daten vor Hackern und unbefugtem Zugriff geschützt?
  • Kosten: Wie gestalten sich die Basiskosten und wie die laufenden Kosten?
  • Potentielles Anbieter-Lock-in: Erlaubt es der Cloud-Provider, mit den eigenen Daten zu einem anderen Anbieter zu wechseln? Oder gibt es irgendwelche Sperrklauseln?
  • Servicezuverlässigkeit und -verfügbarkeit: Wie zuverlässig ist der Support und welche Verfügbarkeit kann man erwarten?
  • Für regulierte Industrien: Einhaltung behördlicher Auflagen – ermöglicht es der Cloud-Dienst, relevante Compliance-Anforderungen zu erfüllen?

Quelle: Chenxi Wang, Vice President Cloud Security & Strategy bei Ciphercloud


2) Worauf es hinsichtlich Sicherheit und Verfügbarkeit zu achten gilt:

  • Technische Ausrüstung/Redundanz: Ist die Infrastruktur vollkommen redundant ausgelegt?
  • Durchgängige Betriebszeit der letzten drei Jahren: Wie gestalten sich die Vorgehensweise und Ankündigungen bei geplanten Downtimes?
  • Die Sicherheitsrichtlinien und die Kontrolle des Zugangs zu Daten und Infrastruktur – gab es Verletzungen der Datensicherheit in den vergangenen zwei Jahren und gibt es automatisierte Intrusion-Detection-Systeme (IDS)?
  • Werden regelmäßig Sicherheitstests durch Dritte durchgeführt?
  • ›Wie häufig werden Backups erstellt und werden diese extern gespeichert? Wie lange werden Backups archiviert? Werden sie verschlüsselt? Wer hat Zugang zu den Schlüsseln?
  • Portabilität der Daten: Gibt es die Möglichkeit, eine Kopie der Daten zu erhalten, falls man die Lösung nicht mehr länger nutzen möchte? In welchem Format sind diese Daten verfügbar?

Quelle: Adam Stewart, Vice President of Engineering bei Autotask Corporation

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok