Der enjoy working Blog - TOPIX DE

Datensicherheit in der Cloud

Geschrieben von Johannes Muck | Mittwoch, 27.02.2019

Die Nutzung von Cloud-Diensten nimmt stetig zu. Der Digitalverband Bitkom hat in einer Erhebung festgestellt, dass zwei Drittel aller Unternehmen Cloud-Anwendungen nutzen. Doch nicht nur im beruflichen Umfeld gewinnt der Speicherplatz im Internet an Beliebtheit – immer mehr private Haushalte sichern ihre Dokumente, Fotos, Musik, Videos oder anderen Dateien online, wie Umfragedaten von Eurostat zeigen.

 

Bildquelle: Statista (https://de.statista.com/infografik/15937/daten-und-fakten-zu-cloud-computing/)


Die rechtliche Absicherung ist entscheidend

Generell ist gegen eine Datenverarbeitung in der Cloud nichts einzuwenden, doch müssen verschiedene Punkte berücksichtigt beziehungsweise sichergestellt werden, wenn diese Form der Datenspeicherung im Geschäftsverkehr genutzt wird. Grundlage für die rechtliche Absicherung für das Cloud Computing ist die unter Paragraf 11 des BDSG festgehaltene Auftragsdatenverarbeitung. Von Ihrem Cloud Provider sollten Sie entsprechend eine ausführliche vertragliche Regelung im Sinne des Paragrafen 11 verlangen. Teil der vertraglichen Regelung sollten auch ordentliche technische und organisatorische Maßnahmen des Providers in seinen Rechenzentren sein (siehe auch Paragraf 9 des BDSG). Zu diesen gehören unter anderem Zutritts- und Zugangskontrollen. Wichtig ist zudem eine ISO-27001-Zertifizierung. Über eine solche sollte das Cloud-Rechenzentrum, mit dem Sie arbeiten, verfügen. Sie sichert zu, dass der Cloud Provider auf eigene Kosten dafür sorgt, dass die datenschutzrechtlichen Sicherheitsmaßnahmen bei ihm eingehalten werden. Nutzen Sie nun aber die Dienste eines nicht-europäischen Providers, sollte dieser in Ihren gemeinsamen Vertrag die EU-Standardvertragsklauseln mit aufnehmen.

 

Eine Alternative zur klassischen Cloud: Die Private Cloud

Einigen Unternehmern ist die Cloud immer noch suspekt. Verständlich, fehlt doch der Bezug zu dem Speicherort. Bei der Nutzung eigener Server-Infrastruktur ist jederzeit klar wo sich die Daten physisch befinden – bei der Cloud können die eigenen Daten auf Rechenzentren in der ganzen Welt verteilt sein. Oftmals überwiegen jedoch die Vorteile wie Datenverfügbarkeit oder Flexibilität diese Bedenken. Eine Alternative, die Vorteile aus beiden Welten vereint, ist die sogenannte Private Cloud. Dabei ist sie nicht etwa ausschließlich für Privatpersonen oder den privaten Gebrauch gedacht, vielmehr versprechen Anbieter einer solchen dem Kunden eine „Daten-Cloud exklusiv“. Das heißt, alle Daten, die der Anwender in seiner Private Cloud lagert, werden nicht zusammen mit Daten der Allgemeinheit gesichert. Somit verfügen Sie hier über eine bessere Kontrolle und einen höheren Sicherheitsstandard als bei den Public Clouds. Die Server einer Private Cloud müssen nicht zwangsläufig in der eigenen Firma stehen, sie müssen nicht einmal von der eigenen Firma gehostet werden, auch Dritte können diesen Job übernehmen. Lediglich die Exklusivität der Nutzung muss gewährleistet sein.

Um eine höhere Sicherheitsstufe zu erzielen, erfolgt der Zugriff auf die Inhalte in der eigenen Datenwolke bestenfalls über ein firmeneigenes Intranet oder ein Virtual Private Network kurz VPN. Für den praktischen Alltag heißt das, nur ausgesuchte Mitarbeiter beziehungsweise autorisierte Nutzer können auf die Daten in der Private Cloud zugreifen. Somit ist sie nicht nur ein Schritt zu einer verbesserten oder gar optimalen Sicherheit in Ihrem Betrieb, sondern gleichzeitig auch ein wichtiger Baustein der Digitalisierung Ihres Unternehmens und daher in doppelter Hinsicht von Bedeutung.

Im Zweifel kostet die Implementierung einer Private Cloud mehr als die Datenhaltung in einer Public Cloud, dafür ist sie bereits bei einer geringen Firmengröße nahezu unabdinglich und als Firmenausgabe quasi unumgänglich. Dafür können Sie die eigene Cloud nach eigenen Wünschen kontrollieren und skalieren. Sie ist flexibel und die Daten Ihres Unternehmens sind nicht mehr an spezifische Geräte gebunden. Die Verfügbarkeit steigt, die Ressourcenaufteilung wird einfacher.

 

Die unterschiedlichen Datenwolken

Entscheiden Sie sich für eine Private Cloud, um Ihre Firmendaten zu sichern, können Sie zwischen verschiedenen Formen wählen:

  • Interne Private Cloud: Hierbei betreiben Sie selbst die IT-Infrastruktur. Dies bedeutet einen gewissen Aufwand und gegebenenfalls auch personelle Kosten. Dafür können Sie etwaige Probleme, die auftreten, möglicherweise schneller und an Ort und Stelle lösen.
  • Gemanagte Private Cloud: Bei dieser Lösung wird die Cloud ebenfalls intern gehostet, jedoch kümmert sich ein externer Anbieter um die Wartung, Überwachung und das Management. Diesen Leistungsumfang bietet Ihnen beispielsweise auch der TOPIX Private Cloud Service.
  • Gehostete Private Cloud: In diesem Fall ist Ihre Datenwolke in einem externen Rechenzentrum untergebracht, das von einem speziellen Anbieter für derlei Services betrieben wird. Dennoch werden die Daten auch hier streng von denen anderer Nutzer getrennt.
  • Community Private Cloud: Diese Sonderform der Private Cloud wird beispielsweise von Firmen ein- und desselben Konzerns genutzt oder von Unternehmen, die aus speziellen Gründen eine Gemeinschaft bilden und auf eine gemeinsame Cloud zugreifen.

 

Vorteile der Private Cloud

Nicht nur aus Gründen der Sicherheit ist der Schritt zu einer Private Cloud empfehlenswert. Manchmal lassen einem Software-Hersteller auch keine andere Wahl. So hat Daylite – eine der populärsten CRM-Lösungen für macOS – angekündigt, die Self-Serve-Option einzustellen und künftig nur noch ein Abo-Modell anzubieten (ifun.de berichtete dazu). Bestandskunden von Daylite, die diesen Schritt nicht mitgehen wollen, bleibt künftig nur noch die Nutzung einer anderen Software – womöglich dann in der Private Cloud.

Die Vorteile, von denen diese Unternehmen dann profitieren, sind:

  • Kontrolle über die Daten und die IT-Infrastruktur
  • Schlanke IT im Vergleich zu herkömmlichen Strukturen
  • Effiziente und extrem flexible Lösung
  • Loslösung von spezifischer Hardware
  • Schnell und einfach skalierbar
  • Die Sicherheit ist dauerhaft gewährleistet
  • Datenschutzanforderungen können einfacher erfüllt werden
  • Exklusivität, keine Rücksichtnahme auf die Belange Dritter nötig
  • Auch die Performance wird nicht durch die Nutzung Dritter eingeschränkt
  • Transparenz in der Anwendung über Zugriffsrechte: Wer darf wann was und wie lange
  • Wahl des Hosting-Ortes