Viele Unternehmen verfolgen mittlerweile eine „Cloud First“- oder sogar „Cloud Only“-Strategie. Neben den zahlreichen Vorteilen, die eine Cloud-Nutzung bietet, sollte man bei der Wahl des Anbieters trotzdem einen genauen Blick hinter die Kulissen werfen: Welche Gefahren stehen im Raum, wenn man sich für den Einsatz einer Cloud-Struktur entscheidet und warum sollte man sich vorher intensiv Gedanken über das Management von Cloud-Risiken machen? Wir haben darüber mit Marc Schieder, Geschäftsführer der DRACOON GmbH und Experte für Cloud Collaboration, gesprochen.

Herr Schieder, immer mehr Unternehmen setzen zumindest bei Teilen der IT-Infrastruktur auf die Cloud. Welche Risiken gilt es dabei zu beachten?

Mit der Entscheidung „pro Cloud“ gibt man immer das größte Gut eines Unternehmens, nämlich dessen Daten, aus der Hand. Darüber sollte und muss man sich zu jeder Sekunde bewusst sein. Deshalb muss man auch bei einer Auslagerung von Server und sämtlichen Anwendungen als Unternehmen darauf achten, dass der Datenschutz und die Datensicherheit eingehalten werden. Da geht es um ganz zentrale Fragen, die darauf abzielen wie zuverlässig und transparent der Anbieter ist und ob tatsächlich gewährt ist, dass die Daten dauerhaft verfügbar sind. Was passiert, wenn ein von mir genutzter Dienst den Service abschaltet? Habe ich dann noch Zugriff auf meine Daten? Das Thema Datenhoheit ist spätestens seit Schrems II, dem Urteil des Europäischen Gerichtshofs aus 2020, noch mehr im Fokus. Darin hat der EuGH darüber entschieden, wie personenbezogene Daten aus der EU heraus transferiert werden sollen. Für deutsche oder europäische Unternehmen hat das Schrems II-Urteil weitreichende Folgen, denn auch wenn man nicht die konkrete Absicht hat, personenbezogene Daten in die USA und andere Länder außerhalb des europäischen Wirtschaftsraums zu übermitteln, kann man bereits durch die Nutzung von bestimmten E-Mail-Diensten, Programmen wie Microsoft 365 oder gewisse Cloud-Server in die Falle tappen. Damit ist fast jedes Unternehmen von Schrems II betroffen – ob bewusst oder unbewusst.

Was muss man bei der Auswahl eines Providers berücksichtigen?

Wenn man einen Provider auswählt, muss man unbedingt die technische, aber genauso auch die organisatorische Sicherheit im Blick haben. Sobald Sicherheitslücken beim Cloud-Dienstleister auftreten, ist im gleichen Atemzug auch die Verfügbarkeit, Vertraulichkeit oder Integrität des gesamten Dienstes gefährde.  Der zentrale Angelpunkt bei der Entscheidung ist tatsächlich der geografische Standort des Cloud Service Providers:  Jede Firma, die in Europa ansässig ist, unterliegt der EU-DSGVO. Und trotzdem entscheiden sich immer noch viel zu viele Firmen unwissentlich für Anbieter, die – bedingt durch ihren Standort – dem amerikanischen CLOUD Act unterliegen. Das geht völlig gegen die DSGVO.  Außerdem sollte man genau prüfen, welche Personen im Rahmen der Abwicklung beim Cloud Provider Zugriff auf die vom Unternehmen gespeicherten personenbezogenen Daten erlangen können. Und da spielen auch Sub-Unternehmen und Partnerfirmen des Anbieters eine Rolle. Generell können auch Verschlüsselungskonzepte und „Confidential Computing“ gut dabei unterstützen, personenbezogene Daten vor unberechtigtem Zugriff zu schützen, damit man die Anforderungen lokaler Datenschutz-Gesetze erfüllen kann.

Können Sie uns da Beispiele nennen?

Ich würde immer darauf achten, dass der Service eine Multifaktor-Authentifizierung bietet. So wird zumindest für höher privilegierte Zugriffe eine erhöhte Sicherheit beim Anmelden verlangt. Aber genauso spielt auch die Art und Weise, wie Daten verschlüsselt werden, eine wichtige Rolle. Einen echten Schutz bietet da nur die clientseitige Verschlüsselung. Dazu zählt auch, ob aus dem Service heraus versendete E-Mails inhaltsverschlüsselt werden können und ob man Dateianhänge verschlüsseln kann. Final sollte jedes Unternehmen prüfen, ob es mit dem Dienst auch möglich ist, die internen Compliance-Vorgaben durch regelbasierte Datenrichtlinien umzusetzen.

Das sind eine Vielzahl von Anforderungen. Was hilft mir als Unternehmen bei der Auswahl eines Providers?

Da gibt es ganz transparente Zertifizierungen, die bei der Auswahl eine echte Entscheidungshilfe liefern. Ich empfehle Unternehmen immer darauf zu achten, ob der Anbieter ein Informationssicherheitsmanagementsystem (ISMS) betreibt, das nach ISO 27001 auditiert und zertifiziert ist. Darüber hinaus sollte man checken, ob der Provider auch die hohen Anforderungen an die Informationssicherheit nach dem Anforderungskatalog Cloud Computing (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllt. Diese Vorgaben müssen z. B. in regelmäßigen Abständen von einem unabhängigen Wirtschaftsprüfer erfolgreich testiert werden. Die wichtigsten Zertifizierungen sind beispielsweise das BSI C5 Testat, die ISO / IEC 27001-Norm für Informationssicherheits-Managementsysteme oder der IDW PS 951.

Welche Risiken sind allgemein mit der Nutzung von Cloud Technologien verbunden?

Aus unserer Sicht lassen sich die Risiken in drei Gruppen klassifizieren, nämlich Compliance-Risiken, Risiken beim Dienstleister und Risiken im eigenen Unternehmen. Damit man diese Risiken besser einschätzen kann, ist es total wichtig, vorher überhaupt einmal zu definieren, warum Daten überhaupt verarbeitet werden müssen und welche „Arten von Daten“ hier überhaupt angepackt werden.

Im zweiten Teil des Interviews erläutert Marc Schieder, warum der Mensch immer noch ein Risikofaktor ist, was man bei der Auswahl eines Providers beachten sollte – und er gibt unter anderem 10 Tipps für Unternehmen zur Cloud Transition.

Fotos: Marc Schieder, Canva, Pexels

Über Marc Schieder

Marc Schieder ist Geschäftsführer der DRACOON GmbH aus Regensburg, dem Marktführer im Bereich Enterprise File Services im deutschsprachigen Raum. In seiner Rolle verantwortet Marc Schieder den vollständigen Produktlebenszyklus, von der Innovation über die Konzeption und Entwicklung, bis hin zum Betrieb und einer langfristigen Sicherstellung der Qualität. Marc Schieder absolvierte einen dualen Studiengang in den Bereichen Informatik und Kommunikationsdesign und verfügt über mehr als 15 Jahre internationale Berufserfahrung als selbstständiger Unternehmer, Geschäftsführer und Vorstandsvorsitzender in den Bereichen individuelle Softwareentwicklung, Software-as-a-Service, Cloud Computing und Telekommunikation.

Marc Schieder auf LinkedIn.