4. Juli 2011 - Cloud Computing

Wenn die Wolke abstürzt

Mehr als zwei Drittel der deutschen Unternehmen arbeiten laut einer aktuellen IDC-Studie daran, IT-Ressourcen bedarfsweise aus dem Internet zu beziehen anstatt dauerhaft eigene IT-Strukturen zu betreiben. Dieses sogenannte Cloud Computing soll Kosten sparen und die Flexibilität erhöhen. Die Risiken sind jedoch nicht zu unterschätzen. Neben dem Kontrollverlust droht unter Umständen auch ein Totalverlust der Daten.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Trotz der derzeitigen Euphorie stößt Cloud Computing bei deutschen Entscheidern auch auf Skepsis, wie die Entscheiderumfrage 2010 von eleven zeigt. 81 Prozent der befragten Entscheider äußerten Datenschutzbedenken bei Cloud Computing, 66 Prozent zeigten Angst vor einem Kontrollverlust.

Doch nur 38 Prozent sorgten sich um einen Datenverlust, wenn es zu einem Systemausfall in der Cloud kommt.

Mehr zum Thema Cloud Computing

 

Führende Cloud-Dienste mussten bereits Datenverlust eingestehen

Wie real das Risiko eines Datenverlustes sein kann, wenn Unternehmen ihre Daten in das Internet auslagern, zeigen mehrere Systemausfälle bei Cloud-Providern, zum Beispiel bei den Amazon Cloud-Diensten rund um Ostern 2011.

Im Fall von Amazon Web Services kam es nicht nur zu einem temporären Datenverlust und damit zu einer zeitweisen Einschränkung bei der Datenverfügbarkeit. Verschiedene Kunden dieses Cloud-Dienstes verloren sogar dauerhaft Daten, die nicht wiederhergestellt werden konnten. Dies ist ein prominenter Fall von Datenverlust in der Cloud, aber keinesfalls der einzige.

Verfügbarkeitskontrolle nicht nur im eigenen Netzwerk

Wenn Ihr Unternehmen Cloud Computing nutzt und personenbezogene Daten im Internet durch Dritte vorhalten lässt, sollten Sie die Prüfung der Verfügbarkeit nicht an den Grenzen des eigenen Netzwerks enden lassen.

Vielmehr sollten Sie genau hinterfragen, wie der Cloud-Anbieter die Verfügbarkeit und die Wiederherstellung der Daten nach einem Systemausfall gewährleisten kann. Dabei sollten Maßnahmen gegen alle Ursachen des Datenverlustes getroffen worden sein, gegen Fehler in der Cloud-Infrastruktur genauso wie gegen zerstörerische Hacker-Angriffe und Fehler unvorsichtiger Mitarbeiter des Anbieters.

Nicht einfach auf den Cloud-Anbieter verlassen

Wie auch bei der Auftragsdatenverarbeitung (§ 11 BDSG) gefordert, sollten Sie nicht einfach auf die Verfügbarkeitsmaßnahmen des Anbieters vertrauen, sondern ganz genau hinsehen. So zeigt die Studie „Security of Cloud Computing Providers“, die das Ponemon-Institut im April 2011 vorstellte, dass die Mehrzahl der untersuchten Cloud-Anbieter

  • kein spezielles Personal einsetzt, das sich um Datensicherheit und Verfügbarkeit in der Cloud kümmert,
  • nur maximal zehn Prozent der operativen Kräfte für Sicherheitsaufgaben einsetzt und
  • der Ansicht ist, dass es nicht ihre Aufgabe sei, sich um die Sicherheit und Verfügbarkeit der Daten ihrer Kunden zu kümmern.

Das sind besorgniserregende Ergebnisse, denn die Kunden sind sich oftmals weder ihrer Verantwortung für den Datenschutz bei Cloud Computing, noch der Einschränkungen bei den Cloud-Angeboten ihrer Dienstleister bewusst.

Fallschirme für den Absturz aus der Wolke

Entscheidend ist deshalb nicht nur, dass der Cloud-Anbieter die Daten der Kunden verschlüsselt und seine Mitarbeiterinnen und Mitarbeiter auf das Datengeheimnis verpflichtet. Auch die Anforderungen an Backup, Ausfallsicherheit und Wiederherstellung müssen dem Schutzbedarf der Daten in der Cloud  entsprechend hoch sein.

Zu der Verfügbarkeit in der Cloud gehören deshalb

  • ausfallsichere Rechenzentren bei dem Cloud-Anbieter,
  • definierte Wiederherstellungszeiten und -prozesse bei Systemausfall,
  • vertraglich garantierte Reaktionszeiten der Hotline im Notfall und
  • ein regelmäßig getestetes Notfallkonzept bei dem Cloud-Provider, das auf das Notfallkonzept Ihres Unternehmens abgestimmt ist.

Wenn die Verfügbarkeit bei Ihrem Cloud-Anbieter unzureichend ist, sollten Sie einen Wechsel des Providers empfehlen. Weitere Hinweise bzw. Checklisten zur Verfügbarkeitskontrolle in der Cloud finden Sie gleich unten unter Downloads.

Mehr zum Thema Verfügbarkeit


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln