Das digitale Outsourcing in die Cloud – Potenziale, Risiken und Sicherheit

Mehr als die Hälfte der Unternehmen in Deutschland profitieren bereits von den Vorteilen, die das Outsourcing in die Cloud mit sich bringt. Egal, ob große Datenmengen, Software oder Infrastruktur: Vieles kann sich bereits in die Cloud auslagern lassen und erleichtert Unternehmen damit den Alltag. Und die Branche wächst weiter.

Laut einer Umfrage der Bitkom-Research hat sich die Zahl der Unternehmen, die bereits auf die Cloud setzen oder dessen Einsatz planen, innerhalb von fünf Jahren mehr als verdoppelt. Dennoch stehen viele Unternehmen dem kritisch gegenüber, denn was mit den Daten passiert, sobald sie die eigenen Server verlassen und wo diese eigentlich gelagert werden, bleibt leider oftmals undurchsichtig.

Angst besteht nicht nur vor Datenverlusten oder Hackerangriffen, denn seit der NSA-Affäre 2013 ist bekannt: Auch Strafverfolgungsbehörden sind an den in der Cloud gelagerten Daten interessiert – der Sicherheit zuliebe. Das mag paradox klingen, entspricht jedoch der Realität. Wir klären darüber auf, was genau eigentlich Cloud-Computing ist, was mit Ihren Firmendaten im Internet passiert und welche Potenziale und Risiken sich darin verbergen.

Die Cloud (engl. für ‚Wolke‘) ist ein Speicher- und Serverdienst, der sich nicht etwa auf die hauseigenen Computer beschränkt, sondern vielmehr einen virtuellen Ort im Internet zum Auslagern von Dateien, Software oder Infrastruktur beschreibt. Im Detail betrachtet liegen Ihre Daten jedoch nicht wirklich in einer digitalen Wolke am Himmel, sondern auf den Servern des jeweiligen Cloud-Anbieters. Die Daten, die Sie beispielsweise dank Software des Anbieters problemlos hochladen können, landen dann im Rechenzentrum des Dienstleisters, das sowohl mit der nötigen Hardware ausgestattet ist als auch über mehrere Server-Standorte verfügt, um die Sicherheit Ihrer Daten, auch im Falle einer Naturkatastrophe, zu gewährleisten. Dank den Kapazitäten und Rechenzentren der Cloud können Sie Ihre Dateien ortsunabhängig speichern, Ihre Software darüber mieten und nutzen sowie Ihre Infrastruktur verwalten. Für den Nutzer bedeutet dies auch Sicherheit in puncto Datenverlust, denn externe Festplatten oder andere Speichermedien können verloren gehen oder beschädigt werden. Man unterscheidet dabei zwischen der Public und der Private Cloud. Public Cloud-Computing wird bevorzugt für den privaten Gebrauch verwendet. Die IT-Leistungen werden hier über das öffentliche Internet genutzt. Beim Private Cloud-Computing dagegen ist die Cloud nur über das unternehmensinterne Intranet abrufbar.

Umsetzungsmöglichkeiten im Unternehmen

Immer mehr Unternehmen denken über die Implementierung von Cloud-Computing nach, in erster Linie mit dem Ziel Kosten zu sparen oder die IT-Struktur schlanker zu gestalten. Denn eine Cloud bietet nicht nur die Möglichkeit, Daten abzulegen, auch Email-Postfächer, Funktionen und Aufgaben können ausgelagert werden. Sogar die im Unternehmen verwendete Software, wie beispielsweise SAP, kann als Cloud-Dienst beim Anbieter abonniert werden. Die Rede ist dann von Software-as-a-Service (SaaS). Teure Lizenzanschaffungen werden damit hinfällig und die lokalen Rechner entlastet. Die benötigten Speicherkapazitäten können beim Anbieter flexibel hinzu- und abgebucht werden und sind dabei nahezu unbegrenzt. Dies erspart Investitionen in beispielsweise nur kurzzeitig benötigte Hardware. Mit den Bedürfnissen der Kunden steigt auch der Bedarf an IT-Leistungen beim Unternehmen. Live-Angebote, wie beispielsweise die Paketverfolgung per App, werden immer gefragter und könnten dann problemlos über eine Cloud bedient werden.

Wer seine Daten und IT-Infrastruktur nur ungern extern auslagern möchte, für den empfiehlt es sich, über Private Cloud-Computing nachzudenken. Die Private Cloud bietet Unternehmen verschiedene Möglichkeiten zur Datenspeicherung, ohne dass man seine Infrastruktur komplett an einen Dienstleister auslagern muss. Bei der Internen Private Cloud wird die interne IT nach dem Cloud-Konzept aufgebaut, die Infrastruktur und die Daten bleiben dabei jedoch im Unternehmen. Dies bietet Unabhängigkeit von Dienstleistern. Zur Umsetzung gibt es inzwischen verschiedene Möglichkeiten per externer Festplatte, aber auch Programme zur manuellen Einrichtung einer Cloud. Wer dies mit zu großem eigenen Aufwand verbindet, für den bietet sich als Alternative die Managed Private Cloud an. Hier wird die Cloud zwar von einem Outsourcing-Anbieter betrieben, die Infrastruktur bleibt dabei dennoch im Unternehmen. Sobald auch die Infrastruktur von den Servern der Dienstleister aus betrieben wird, spricht man von einer Hosted Private Cloud. Inzwischen gibt es auch Modelle der Community Cloud, welche von einem bestimmten Unternehmenskreis als private Cloud genutzt werden kann.

Bei der Anschaffung einer Private Cloud muss jedoch auch mit höheren Kosten im Vergleich zur Public Cloud gerechnet werden. Dies ist auch der Antreiber für einen neuen Trend im Cloud-Markt: die Hybrid Cloud. Diese Art von Cloud-Computing steht für die Kombination verschiedener Cloud-Umgebungen, wobei mindestens eine privat ist. Da sie kostengünstiger ist als eine reine Private Cloud prognostizieren Analysten, dass zukünftig 30 Prozent aller Cloud-anwendenden Unternehmen auf Hybrid Clouds setzen werden.

Wie kann ich als Unternehmen profitieren?

Dank Cloud-Computing sind Ihre Dateien von überall aus zugreifbar – und das auch auf mobilen Endgeräten. Da Cloud-Anbieter Ihre Daten und Infrastruktur in der Regel auf mindestens zwei Servern speichern, sind Sie auch vor Server-Abstürzen geschützt, was eine gesteigerte Verfügbarkeit und Performance der IT-Leistungen darstellt. Generell ermöglicht einem Cloud-Computing langfristig Kostensenkungen, Flexibilität, Komfort und Skalierbarkeit. Entsprechende Server im eigenen Haus zu betreiben, ist meist mit größeren Investitionen verbunden – diese Kosten können über die Cloud eingespart werden. Auch Kosten für die Wartung und den Betrieb der IT-Ressourcen entfallen. Viele Cloud-Dienstleister bieten zudem „Pay-as-you-go“-Angebote, bei dem ausschließlich der tatsächliche Nutzen berechnet wird. Dies bietet sich insbesondere für Start up-Unternehmen an. Wächst Ihr Unternehmen, buchen Sie einfach entsprechende Kapazitäten und Leistungen hinzu.

Auch der Wechsel der IT-Dienste von den eigenen Servern in die Cloud stellt sich inzwischen weitestgehend problemlos dar. Für die Anwender bedeutet dies keine zusätzlichen Aufwände, wie Installationen entsprechender Software oder andere Wartungsarbeiten. Auch die unternehmensinterne IT-Abteilung kann damit entlastet werden. Neue Softwarefeatures brauchen nicht mehr manuell durch ein Update installiert werden, denn auch darum kümmert sich jetzt der Anbieter. Dieser spielt Verbesserungen direkt in das Software-Produkt ein, so dass die in der Cloud genutzten Programme stets auf dem neuesten Stand sind.

Besonders kleine und mittelständische Unternehmen können vom Cloud-Computing profitieren. Immer dann, wenn IT-Aufgaben ein notwendiges Übel darstellen und eher nur nebenbei anstatt hauptberuflich betrieben werden, kann dieser Aufwand mit der Cloud problemlos outgesourct werden. Dies erspart auch die Suche nach qualifizierten und bezahlbaren Mitarbeitern. Für wachstumsstarke Unternehmen bietet sie den Vorteil, Geschäftsprozesse noch dynamischer und effizienter zu gestalten. Gleichzeitig kann sie auch die Entwicklungsprozesse beschleunigen, indem neue Märkte schneller erschlossen werden können sowie die dafür benötigte IT problemlos aufgebaut und eingesetzt werden kann.

Auch für das unternehmensinterne eLearning bietet die Cloud Vorteile im Hinblick auf Zugänglichkeit, Flexibilität, Kosten und Skalierbarkeit. Inzwischen gibt es auf dem Markt cloudbasierte Learning Management Systeme sowie Clouds, die ausschließlich für das Erstellen, Verwalten und Publizieren von Lerninhalten innerhalb einer Autorensoftware genutzt werden. Neue Trends im eLearning-Bereich, wie das Mobile Learning, wären ohne Cloud-Computing kaum realisierbar. Mithilfe der Cloud können Lernende selbst bestimmen wann und wo sie über welche Endgeräte auf die Lerninhalte zugreifen. Zudem ermöglicht sie das Strukturieren, Organisieren und Reflektieren des Lernprozesses und somit auch die Schaffung einer persönlichen mobilen Lernumgebung. Zusätzliche Investitionen in eine Lern-Infrastruktur sind dabei nicht mehr vonnöten. Die benötigten Lernplattformen bieten bereits die Cloud-Anbieter an. Außerdem passt sich das cloudbasierte Lernsystem an die Besucherzahlen an und reduziert oder erhöht die Rechenleistungen je nach Bedarf.

Die meisten Anbieter liefern zudem bei ihren Cloud-Storages auch ein Security-Management mit, um Ihre Daten vor Dritten zu schützen. Nichtsdestotrotz bleibt die Sicherheit des Cloud-Computings ein relevanter Faktor bei der Entscheidung für oder gegen die Implementierung von Cloud-Services.

Sicherheit der Daten

Insbesondere in Bezug auf sensible Firmendaten entstehen beim anwendenden Unternehmen Bedenken über dessen Schutz. Sind diese Daten wirklich vor Hackerangriffen geschützt? Und haben möglicherweise auch Firmenexterne Zugriff darauf?

Gerade beim Public Cloud-Computing scheint die Sicherheit der Daten eher undurchsichtig, zumal sich die Server der großen Anbieter, wie Dropbox oder iCloud, in den USA befinden. Cloud-Dienste, deren Server sich auf amerikanischem Boden befinden, unterliegen dem Patriot Act, einem Antiterror-Gesetz. Die amerikanischen Geheimdienste dürfen dementsprechend, sobald ein Verdacht besteht, die Einsicht Ihrer Daten vom Cloud-Dienstleister anfordern. Dieser ist dazu verpflichtet, die Daten preiszugeben – auch ohne ihr Wissen.

Nutzung von Cloud-Diensten in Unternehmen. (Quelle: Cloud Monitor 2017, Bitkom Research im Auftrag von KPMG)
Das Prinzip Cloud-Computing: In die Cloud geladene Daten werden auf verschiedenen Servern an verschiedenen Standorten gespeichert. (Quelle: iStock.com/vladru)


Vor einigen Jahren sorgte der Fall um Microsoft für Unruhe unter den Cloud-Anbietern und -Nutzern. Der US-Riese speichert die Daten seiner Nutzer zwar auf Servern in Irland, da es sich jedoch um ein amerikanisches Unternehmen handelt, fällt auch Microsoft unter die US-Gesetze und ist damit gezwungen, die in Europa gelagerten Daten seiner Nutzer an die amerikanischen Strafverfolgungsbehörden preiszugeben. Der Fall ging vor Gericht und fand erst Anfang des Jahres mit einem positiven Urteil für Microsoft ein Ende. Demnach sind die amerikanischen Behörden nicht dazu befugt, die in Europa gespeicherten Nutzerdaten vom Konzern einzufordern. Es bleibt jedoch zu erwarten, dass sich die USA damit nicht zufriedengeben werden.
 
Um bei den unterschiedlichen Datenschutzgesetzen Europas und Amerikas auf eine rechtliche Einigung zum Datenverkehr zwischen den Kontinenten zu kommen, wurde im Jahr 2000 zunächst das Safe Harbor-Abkommen eingeführt, welches es Unternehmen erlaubte, personenbezogene Daten aus Europa nach Amerika zu transferieren, insofern dies der europäischen Datenschutzrichtlinie entspricht. Spätestens jedoch nach den Enthüllungen Edward Snowdens stand das Abkommen stark in der Kritik und musste daraufhin weiteren Überprüfungen standhalten. 2015 wurde das Abkommen schließlich außer Kraft gesetzt, da es sich laut des Europäischen Gerichtshofes nicht mit den Grundrechten vereinen ließ. Nach zweijährigen Verhandlungen zwischen Europa und den USA wurde das Abkommen 2016 vom EU-US Privacy Shield abgelöst. Dieses soll sowohl den europäischen Datenschutzstandards gerecht werden als auch weiterhin für die Unternehmen praktikabel sein. Doch auch diese Übereinkunft hat seine Verfechter. Kritiker sind der Ansicht, dass die neuen Regelungen unmöglich die massenhaften Datenerhebungen der amerikanischen Behörden aufhalten können. So sieht das neue Abkommen zwar vor, dass der Datenschutz für die in den USA gespeicherten Daten europäischer Nutzer auch an die europäischen Standards angepasst werden soll, an der amerikanischen Gesetzlage ändert sich dennoch nichts und auch der Zugriff auf die personenbezogenen Daten für bestimmte Zwecke ist den dortigen Behörden weiterhin möglich.  Anders sieht dies in Deutschland aus. Daten, die auf deutschen Servern liegen, sind dank strenger Datenschutzgesetze vor Zugriffen von Externen geschützt. Denn deutsche Gesetze untersagen den Abruf und die Nutzung personenbezogener Daten, insofern keine andere Rechtsgrundlage greift oder eine ausdrückliche Genehmigung der betroffenen Person vorliegt. Werden Daten und IT-Aufgaben jedoch in nicht-europäische Regionen wie Amerika outgesourct, sind diese Gesetze in der Regel wirkungslos.

Bedenken bleiben bestehen

Doch auch trotz deutscher Datenschutzgesetze bleiben die Sicherheitsbedenken bei den Anwendern nach wie vor bestehen. Viele Unternehmen verbinden mit Cloud-Computing die Gefahr, dass sensible Daten in falsche Hände gelangen oder gar verloren gehen können. Insbesondere der Gerichtsstreit zwischen dem US-Konzern Microsoft und den amerikanischen Behörden erweckt bei den Anwendern den Eindruck einer schwammigen Rechtslage. Laut einer Umfrage der Bitkom Research sind aufgrund dessen nur 19% der Public Cloud-Computing anwendenden Unternehmen bereit, sensible Informationen auszulagern.

Neben dem Sicherheitsfaktor ist man leider auch vor Anbieter-Insolvenzen nicht geschützt. Der Cloud-Markt wird zwar von einigen großen Dienstleistern dominiert, dennoch bestehen daneben viele kleine Cloud-Anbieter, für welche es gilt, der großen Konkurrenz standzuhalten. Damit ist der Markt auch von viel Dynamik geprägt. Muss Ihr Cloud-Anbieter Insolvenz anmelden oder wird von einem Konkurrenten geschluckt, bedeutet dies leider auch für Sie als Kunde große Umstellungen. Verträge müssen neu verhandelt werden oder der Cloud-Dienst entfällt zunächst komplett. Wie das Beispiel Hewlett-Packard zeigt, sind hiervon jedoch nicht nur die kleineren Unternehmen betroffen. Der IT-Konzern entschied sich aufgrund der großen Konkurrenz durch Marktführer wie Amazon oder Microsoft Ende 2015 für eine neue Geschäftsausrichtung, was für seine Kunden bedeutete, dass sie sich nach Cloud-Alternativen umsehen mussten.  

Auch mögliche Datenverluste stellen einen Risikofaktor dar. Genauso wie Ihr eigenes Firmennetzwerk haben auch Cloud-Umgebungen mit den gleichen Bedrohungen zu kämpfen, mit dem Unterschied, dass diese für einen Angreifer aufgrund der riesigen dort gelagerten Datenmengen noch attraktiver sind. Doch diese Gefahren kennen die Anbieter natürlich und versuchen daher auch ihre Kunden vor solchen zu schützen, beispielsweise durch die Verschlüsselung der Daten. In jüngster Vergangenheit zeigte sich jedoch, dass nicht nur Hacker eine Bedrohung für die Cloud darstellen: Bei einem Absturz von Amazon Cloud-Servern 2011 wurden Daten der Kunden zerstört und waren teilweise nicht wiederherstellbar. Auf solche Szenarien wird von einigen Anbietern beispielsweise bereits mit Backups reagiert.

Doch was passiert für den Fall, dass Hacker tatsächlich einmal wichtige Betriebsgeheimnisse und Unterlagen stehlen? Haftet dann der Cloud-Anbieter? Laut den AGBs der Dienstleister ist dies nicht der Fall, denn diese sichern sich darin zumeist dagegen ab, so dass die Kunden die Cloud auf ihre eigene Gefahr nutzen. Ähnlich wie mit dem Mantel, den Sie bei einer Veranstaltung an der Garderobe abgeben: Für abgegebene (oder in diesem Fall ausgelagerte) Sachen wird keine Haftung übernommen. Doch in der Realität ist dies nicht ganz mit deutschen Gesetzen vereinbar, da es laut diesen keinen vollständigen Haftungsausschluss geben kann. Liegt beim Anbieter zumindest Vorsatz oder Fahrlässigkeit vor, muss auch er haften. Noch einmal komplizierter wird es allerdings, wenn der Dienstleister seinen Sitz in den USA hat. Dort gelten sogar von Bundesstaat zu Bundesstaat unterschiedliche Gesetze und bei Streitigkeiten muss der Kläger seine Rechte vor dem dortigen Gericht durchsetzen.

Cloud Security Service schafft Abhilfe

Jedoch gibt es Entwarnung: In der Regel sind die Anbieter bemüht um den Schutz der Kundendaten und Microsoft geht mit bestem Beispiel voran. Das Unternehmen lässt inzwischen zwei Rechenzentren in Deutschland von einer Tochtergesellschaft der Telekom betreiben, welches den Zugriff auf die gespeicherten Daten kontrolliert und als Treuhänder für Microsoft fungiert. Das wiederum bedeutet: Nicht einmal Microsoft hat Zugang zu den Rechenzentren. Auf diese Weise sollen ausländischen Behörden Grenzen gesetzt werden. Auch die SaaS-Produkte von Microsoft laufen über diese Server. Zum Schutz vor Hacker-Angriffen verteilt beispielsweise Google die Daten seiner Nutzer auf verschiedenen Servern. Um also an die Daten ranzukommen, müssten die Angreifer Zugriff auf alle Server haben.

Zudem bieten die meisten Anbieter verschiedene Cloud Security Services an. Hier gibt es ein breites Angebot von Web-Gateways, die das Eindringen von Schadcodes verhindern, über Anti-Virus-Programme und Email-Spam-Filter bis hin zu Detection-Systemen, welche den Datenverkehr überwachen und Abweichungen melden. Aber auch Backups Ihrer Daten in den Anbieter-Rechenzentren zum Schutz vor Verlusten sind möglich.

Vielen Unternehmen bereitet jedoch schon der Gedanke daran, nicht mehr die Hoheit über ihre Daten zu haben, Bauchschmerzen. Schließlich könne man die Server im eigenen Haus stets überwachen. In der Realität sieht dies allerdings anders aus, denn während nachts und am Wochenende kein Mitarbeiter ein Auge auf die Betriebe hat, überwacht der Cloud-Anbieter diese rund um die Uhr und kann dadurch schneller auf Gefährdungen reagieren.

Um sich darüber hinaus noch weiter zu schützen, können Sie Ihre Dateien auch selbst verschlüsseln, bevor Sie diese in die Cloud hochladen. Denn ebenso wichtig wie eine Verschlüsselung der Daten in der Cloud, ist die Verschlüsselung dieser auf dem Weg dorthin. Daten, die beim Hochladen nicht verschlüsselt werden, können von Außenstehenden potenziell abgegriffen werden. Um diesem vorzubeugen, gibt es spezielle Tools, die Ihre Daten in unlesbare Codes umwandeln. Diese können wiederum nur mit einem bestimmten Schlüssel entziffert werden, und es liegt an Ihnen, wer diesen bekommt.

Was bedeutet das konkret für den geplanten Einsatz einer Cloud?

Überprüfen Sie Cloud-Anbieter, die für Sie infrage kommen, genau. Nicht immer ist sofort ersichtlich, wo sich die Rechenzentren, auf denen Ihre Daten gespeichert werden, befinden. Es empfiehlt sich aber, auf Anbieter zu bauen, deren Server sich zumindest in Europa – oder noch besser in Deutschland – befinden. Einige Dienstleister verfügen zudem über keine eigenen Rechenzentren, sondern nutzen diese bei größeren Anbietern, wie Amazon, mit. Spricht solch ein Dienstleister Ihnen vertraglich bestimmte Sicherheiten zu, bleibt es letztendlich dennoch Vertrauenssache, dass diese wirklich durchgesetzt werden. Auch die AGBs sollten gründlich gelesen werden, da bereits Fälle bekannt wurden, in denen Cloud-Anbieter aufgrund von Kniffen in den Vertragsbedingungen die Daten der Nutzer weiterverwenden durften. Ihre Datenschutzrechte sollten daher vertraglich festgehalten sein. Auch wenn sich die Suche nach dem passenden Anbieter zunächst als Aufwand darstellt, kann dieser sich lohnen und letztendlich IT-Aufwände reduzieren. Haben Sie einen Anbieter gefunden, der Ihren Bedürfnissen und Sicherheitsstandards gerecht wird, können Sie dafür von den zahlreichen Mehrwerten profitieren.


SoftDeCC



Aktuelle Publikation:

eLearning Journal - 2/2017
Kaufberater & Markt 2017/2018
>> Jetzt bestellen eLJ2/2017