Cloud Computing für Manager

Heft 1/2012

5. Teil: Strengere Gesetze zum Datenexport

Sicherheit
Auch die Sicherheit der Cloud wird häufig infrage gestellt. Wahr ist: Fremde können Datenübertragungen abfangen und Firewalls überwinden; Viren und andere Malware können in Computersysteme eindringen. Vielleicht am beunruhigendsten ist aber, dass die für digitale Infrastruktur zuständigen Personen Geheimnisse stehlen können oder nachlässig werden und so Fremde in die Systeme lassen. Der Harvard-Rechtsprofessor Jonathan Zittrain formuliert es so: "Früher brauchten die Bösen zum Stehlen von Geheimnissen den Computer selbst, mit der Cloud reicht heute ein Passwort." Das allerdings gilt für jedes Computernetz, auch für diejenigen, die Unternehmen in Eigenregie betreiben.

    MEHR ÜBERBLICK        Risikomanagement:  Ein Stromversorger in Australien will sein 150.000 Kilometer langes Leitungsnetz mit einem Spezialflugzeug abfliegen und die Daten in der Cloud mit Luftaufnahmen aus Google Earth verknüpfen. Das Management hofft so, Risiken schneller erkennen und den Netzausbau besser planen zu können.
Dirk Schleef

MEHR ÜBERBLICK

Risikomanagement: Ein Stromversorger in Australien will sein 150.000 Kilometer langes Leitungsnetz mit einem Spezialflugzeug abfliegen und die Daten in der Cloud mit Luftaufnahmen aus Google Earth verknüpfen. Das Management hofft so, Risiken schneller erkennen und den Netzausbau besser planen zu können.

Wie Dienstunterbrechungen sind auch Sicherheitslücken bei Cloud-Anbietern immer ein großes Thema. So berichteten die Medien ausführlich über Zwischenfälle beim Speicheranbieter Dropbox und beim E-Mail-Vermarkter Epsilon. In diesem Zusammenhang gerät aber leicht in Vergessenheit, dass es laut einer Umfrage des Ponemon Institute, einer privaten US-Forschungseinrichtung zum Thema Datenschutz, bei 90 Prozent der befragten Unternehmen jedes Jahr zu einem oder mehreren Verstößen gegen die Datensicherheit kommt.

Die einzige Möglichkeit, 100 Prozent Sicherheit zu erreichen, sind null Computer. Das zweitbeste Vorgehen besteht darin, mögliche Bedrohungen ständig im Auge zu behalten, die beste Technik zum Schutz von Geräten, Netzen und Übertragungen zu kaufen oder zu entwickeln und hoch qualifizierte Sicherheitsexperten zu beschäftigen. Und das können Cloud-Anbieter besser leisten als alle anderen Unternehmen, außer den größten und sicherheitsbewusstesten.

Für die meisten Firmen aber bedeutet Sicherheit mehr, als Verbrecher abzuwehren. Sie bedeutet auch, steuern zu können, wer welche Rechte hat und welche Dokumente aufrufen kann, zu welcher Zeit und unter welchen Umständen. Die Dokumente und Tabellen zu einer potenziellen Fusion zum Beispiel sollten nur für das Team zu sehen sein, das dieses Geschäft vorbereitet. Und wenn Mitarbeiter das Unternehmen verlassen, sollte sich ihr Zugriff auf dessen digitale Ressourcen schnell und einfach beenden lassen.

Manche Unternehmen beherrschen diese Art der Kontrolle auf ihren Vor-Ort-Systemen bereits recht gut, was aber erheblichen Administrationsaufwand erfordert. Manche Cloud-Angebote dagegen sind noch nicht so weit. Der Grund dafür ist, dass sie ursprünglich für kleine Gruppen von Kollegen ausgelegt waren, nicht für hierarchische Organisationen, in denen manche Leute Kontrolle über andere ausüben können und müssen.

Cloud-Anbieter, die den Markt für große Unternehmen erschließen wollen, arbeiten an der Integration derartiger Verwaltungsfunktionen in ihre Produkte; viele sind schon so weit. Mit zunehmender Reife sollten diese Funktionen die schwersten Sicherheitsbedenken schwinden lassen.

Wie Sie in die Cloud vorstoßen
  • Die meisten Unternehmen beginnen gerade erst damit, die Möglichkeiten des Cloud Computings zu erkunden. Im Folgenden finden Sie die wichtigsten Punkte, die Sie dabei beachten sollten.
Regulierung
Es ist schlicht nicht möglich, hier alle rechtlichen und regulatorischen Hürden für die Cloud zu diskutieren oder auch nur aufzulisten. Viele davon betreffen den Zugriff auf Daten und deren Transport. Das Gesetz U. S. Health Insurance Portability and Accountability Act (das Krankenversicherungen betrifft - Anm. d. R.) zum Beispiel sieht für Organisationen, die mit persönlichen Gesundheitsdaten zu tun haben, strenge Zugriffskontrollen und Audits vor. Es wird viel darüber diskutiert, ob Cloud-Anbieter diese Vorgaben erfüllen können.

Die Europäische Union wiederum verbietet, dass Kundendaten ohne vorherige Zustimmung in Länder außerhalb der Gemeinschaft übertragen werden. Unternehmen aus dem EU-Ausland können diese Regelung umgehen, indem sie belegen, dass sie beim Datenschutz vergleichbare Standards wie in Europa einhalten (das sogenannte "Safe Harbor"-Abkommen). Manche Länder, zum Beispiel Deutschland, haben aber noch strengere Gesetze zum Datenexport, und noch ist nicht klar, ob die Safe-Harbor-Regelungen ihnen Genüge tut.

Solche Überlegungen bedeuten, dass weder Anbieter von Cloud Computing noch deren Kunden einfach sagen können: "Die Daten sind irgendwo in der Cloud. Wo genau, wissen wir nicht." Die Dienstleister wissen das und gestalten ihre Angebote so um, dass sie Kunden und Aufsichtsbehörden garantieren können, dass bestimmte Datensätze an einem bestimmten Standort und nirgendwo anders aufbewahrt werden.

In der Zwischenzeit aber müssen aktuelle und künftige Cloud-Kunden so viel Klarheit wie möglich über die rechtlichen und regulatorischen Fragen bekommen, die es beim Umzug in die Cloud zu beachten gibt (siehe Kasten oben) . Das ist nicht einfach - manche Vorschriften sind vage gehalten, und noch gibt es nicht viele Präzedenzfälle. Aber wahr ist auch, dass viele Unternehmen die Cloud zu konservativ angehen und dass sie viel mehr tun könnten, als sie glauben. Um nur eine große Organisation zu nehmen, die trotz vielfältiger regulatorischer Verpflichtungen aggressiv auf die Cloud setzt, müssen Sie sich nur die US-Regierung anschauen: 2010 verkündete ihr damaliger Chief Information Officer Vivek Kundra, 20 Milliarden Dollar oder ein Viertel des gesamten IT-Budgets der USA in den Umstieg auf die Cloud zu investieren.

Artikel
Kommentare
0
Diskussionsregeln

Wir freuen uns über lebendige, konstruktive und inspirierende Diskussionen auf HBM Online. Um die Qualität der Debattenbeiträge sicherzustellen, werden unsere Moderatoren jeden Beitrag prüfen. Eine Nutzung der Kommentarfunktion zu kommerziellen Zwecken ist nicht erlaubt. Beiträge mit vorwiegend werblichem, strafbarem, beleidigendem oder anderweitig inakzeptablem Inhalt werden von unseren Moderatoren gelöscht.

© 2011 Harvard Business Publishing
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der manager magazin Verlagsgesellschaft mbH
Nach oben