In der Diskussion über den Einsatz von Cloud-Computing in Unternehmen spielen bestimmte Argumente über angenommene Nachteile der Cloud Technologie immer wieder eine Rolle. So ist die Angst vor unberechtigtem Zugriff auf Unternehmensdaten immer noch die verbreitetste Sorge deutscher Unternehmen, die darüber nachdenken, ob sie zukünftig Cloud-Computing einsetzen. Mehr als die Hälfte (60 %) äußern solche Sicherheitsbedenken. Aber auch befürchteter Datenverlust (39 %), Unklarheiten bezüglich der Rechtslage bzw. Compliance (35 %) und Kompatibilitätsbedenken (33 %) wirken hemmend.*
Doch sind diese Sorgen hinsichtlich des Cloud-Computings überhaupt begründet? In diesem Beitrag greifen wir die wichtigsten Nachteile beim Cloud-Computing auf, erklären, ob es sich dabei um Missverständnisse oder echte Hindernisse handelt und zeigen, welche Lösungen und Alternativen existieren.
1. Fehlende IT-Sicherheit beim Cloud-Computing?
Als größter möglicher Nachteil beim Cloud-Computing drängt sich die Frage nach der Datensicherheit auf. Sensible Geschäftsdaten wie personenbezogene Kunden- und Mitarbeiterdaten oder Informationen zur wirtschaftlichen Stellung des Unternehmens sollten bis dato möglichst die hausinterne IT nicht verlassen. Beim Speichern in der Cloud in einem externen Rechenzentrum könnten diese Daten ausgespäht oder geklaut werden – so die Befürchtung.
Droht beim Cloud-Computing also wirklich eine größere Gefahr durch mangelnde IT-Sicherheit? Die Faktenlage spricht gegen diese Befürchtung. So richten sich Studien* zufolge nur etwa 15 % der registrierten oder vermuteten Angriffe auf die IT von Unternehmen auf den Bereich Cloud-Computing. Ein generell erhöhtes Risiko liegt also nicht vor.
Der Weg in die Cloud muss auch nicht mit allen Daten erfolgen. So gibt es inzwischen effiziente Hybrid-Cloud-Lösungen, bei denen sensible Geschäftsdaten auf unternehmenseigenen Rechnern oder Servern verbleiben, während andere Prozesse in die externe Cloud verlagert werden.
Gleichzeitig sollten Unternehmen sich aber darüber bewusstwerden, dass die Rechenzentren der Cloud-Computing-Anbieter über modernste Technik, Firewalls und Antivirensoftware verfügen und somit erheblich besser gegen Angriffe, aber auch Stromausfall, Feuer, Wasser und Naturkatastrophen geschützt sind, als der Server im Keller oder Abstellraum der allermeisten Unternehmen.
Die Lösung für Sicherheitsbedenken beim Cloud-Computing besteht schlicht darin, ausschließlich auf Dienstleister zu setzen, deren Rechenzentrumssicherheit durch internationale Normen zertifiziert wurde. Ein gültiges ISO 27001 Zertifikat sollte in jedem Fall vorliegen, gerne auch eine ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) Zertifizierung – und im Idealfall beide Zertifikate zusammen. Die strengen Sicherheitsauflagen der beiden Normen werden durch regelmäßige Audits geprüft, das Informationssicherheitsmanagementsystem (ISMS) des Anbieters muss ständig optimiert werden.
2. Beim Cloud-Computing droht Datenverlust?
Ein deutlicher Nachteil des Cloud-Computings läge vor, wenn teilweiser oder sogar vollständiger Datenverlust drohen würde. Waren alle wichtigen Daten bisher auf Festplatten oder anderen Trägern im Unternehmen gespeichert, war im Ernstfall immer eine Kopie verfügbar. Ob der Cloud Anbieter ebenso sorgsam mit den Daten umgeht, ist in diesem Fall eine zu erwartende Frage.
Tatsächlich ist die Gefahr eines Datenverlustes beim Cloud-Computing erheblich geringer, als bei ausschließlich stationärer Unternehmens-IT. Denn beim Speichern in der Cloud wird im Regelfall auf redundante Strukturen zurückgegriffen. Daten sind also mindestens auf zwei Datenträgern gespeichert – und dass an zwei völlig getrennten Orten. Sollte also wirklich einmal eine Recheneinheit ausfallen, bleiben die Daten an anderer Stelle erhalten und sogar jederzeit verfügbar (was wiederum unablässig für die Business-Continuity von Unternehmen ist). Selbst im Worst-Case-Szenario von Bränden, Wasserschäden oder Erdbeben – die eine vollständige Vernichtung der Unternehmens-IT zur Folge haben könnten – bleiben Daten in der Cloud erhalten. Denn einerseits sind professionelle Rechenzentren gut gegen derartige Bedrohungen geschützt. Andererseits bestehen in der Regel redundante Server in zwei unabhängigen Rechenzentren.
Nichts desto trotz sollten Unternehmen, die Daten in der Cloud speichern, über Exit-Strategien nachdenken, die zum Beispiel dann greifen, wenn dem Cloud Anbieter schwere Fehler unterlaufen sollten oder gar dessen Insolvenz droht. Hierbei ist vor allem darauf zu achten, dass Daten jederzeit in einem kompatiblen Format exportiert bzw. migriert werden können.
3. Cloud-Computing gefährdet die Compliance?
Über die Hälfte (56 %) der deutschen Unternehmen fürchtet, durch den Einsatz von Cloud-Computing bestimmte Compliance-Anforderungen nicht einhalten zu können. Insbesondere hinsichtlich des Datenschutzes und des Bundesdatenschutzgesetzes (BDSG) bestehen – zum Teil berechtigte – Sorgen. Nicht umsonst gilt „Datenschutz – Made in Germany“ als weltweites Qualitätsmerkmal. Über tatsächliche Compliance-Verletzungen beim Cloud-Computing berichten trotzdem nur 8 % der Unternehmen hierzulande.
Um bei der Verlagerung von Daten oder ganzen Geschäftsprozessen in die Cloud tatsächlich rechtskonform zu bleiben, sollten bei der Auswahl des Cloud Anbieters einige zentrale Aspekte beachtet werden. So ist es vor allem ratsam, ausschließlich Anbieter zu wählen, die ihre Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR) betreiben, besser noch ausschließlich in Deutschland. Denn personenbezogene Daten dürfen nur in Länder übertragen werden, die über ein angemessenes Datenschutzniveau verfügen.
Auch der Unternehmenssitz des Cloud Anbieters sollte möglichst in Deutschland oder dem EWR liegen. So wird verhindert, dass etwa in den USA ansässige Unternehmen Daten an die dortigen Sicherheitsbehörden herausgeben müssen. Rechenzentren-Betreiber, die ihre Leistungen ausschließlich von Deutschland aus erbringen, fallen hingegen nicht unter den US Freedom Act (früher: Patriot Act).
Letztlich schreibt das BDSG vor, dass Unternehmen, die personenbezogene Daten durch Dritte verarbeiten lassen (also z. B. in der Cloud), ihren Dienstleister hinsichtlich seiner Compliance mit Datenschutz- und Datensicherheitsrecht kontrollieren. Cloud Anbieter sollten also im Rahmen der Auftragsdatenverarbeitung (ADV) eine Überprüfung ihrer technischen und organisatorischen Maßnahmen ermöglichen und einen entsprechenden ADV-Vertrag unterzeichnen.
4. Cloud-Computing ist nicht kompatibel mit Unternehmens-IT?
Letztlich gibt es Unternehmen, die fürchten, dass Cloud-Computing-Anwendungen nicht mit der bestehenden Unternehmens-IT bzw. Software kompatibel ist. Schon früher brachte jedes Update von Betriebssystemen, Anwendungen oder Hardware Probleme mit sich, mit denen die Unternehmens-Admins teilweise lange zu kämpfen hatten. Ganz zu schweigen von neuen IT-Systemen, die in Bestehendes integriert werden sollten.
Unternehmen, die derartige Sorgen vor der Inkompatibilität mit der Cloud haben, sollten bei der Anbieter-Auswahl ein besonderes Augenmerk auf dort vorhandene APIs, Schnittstellen und die Integrationsfähigkeit verschiedener Protokolle haben. Professionelle Cloud-Computing-Anbieter decken hier nahezu alle Möglichkeiten und Eventualitäten ab.
Hinzu kommt, dass Cloud-Computing bzw. die Virtualisierung von IT-Strukturen als einer der wichtigsten wirtschaftlichen und technologischen Trends zu betrachten ist. Mit anderen Worten: Cloud-Computing ist auf dem besten Wege, Schlüsseltechnologie zu werden. Demzufolge werden sich alle großen Unternehmen darauf konzentrieren, während andere Standards schnell an Bedeutung verlieren könnten. Selbst wenn also die bestehende Unternehmens-IT oder Software auf dem Weg in die Cloud zwecks Kompatibilität angepasst werden muss, sollte dies möglichst zeitnah erfolgen, um technologisch (und in der Folge auch wirtschaftlich) nicht auf dem Abstellgleis zu landen.
Fazit: Cloud-Computing überzeugt im Einsatz
Insgesamt zeigt sich, dass die von Unternehmen befürchteten Nachteile des Cloud-Computings durch sorgfältige und strategische Auswahl des Cloud Anbieters ausgehebelt werden können. Auf diesem Wege können die fraglichen Aspekte von IT-Sicherheit, Sicherung und Verfügbarkeit von Daten, Compliance und Kompatibilität sogar in deutliche Vorteile des Cloud-Computings umgewandelt werden.
In der Tat sind 78 % der Unternehmen, die auf Private Clouds setzen, überwiegend oder vollkommen zufrieden. Negative Erfahrungen wurden hingegen nicht berichtet.
* Bitkom Cloud Monitor 2015
Wie vorteilhaft wäre die Cloud für Ihr Unternehmen? Das sollten wir gemeinsam herausfinden!
