Regionale Cloud-Angebote

Cloud ohne Angst dank europäischer und regionaler Rechenzentren

| Autor / Redakteur: Florian van Keulen* / Florian Karlstetter

Florian van Keulen, Principal Consultant Cloud Security bei der Trivadis AG über die Vorteile von regionalen Cloud-Angeboten.
Florian van Keulen, Principal Consultant Cloud Security bei der Trivadis AG über die Vorteile von regionalen Cloud-Angeboten. (Bild: Trivadis AG)

Vor allem kleine und mittelständische Unternehmen scheuen trotz aller Vorteile die Migration in die Cloud. Sie verzichten aus Sorge um die Integrität ihrer Daten lieber auf die unternehmerischen Chancen, die Cloud Computing mit sich bringt. Auch in der öffentlichen Verwaltung stockt die Cloud-Adaption aufgrund von Bedenken um Datenschutz und Co. Viele Anbieter reagieren auf diese Bedenken mit regionalen Cloud-Angeboten. Doch was bringen diese Modelle wirklich?

126 Milliarden Euro. Soviel Wertschöpfungspotential misst eine im Juli 2017 veröffentlichte Studie der Unternehmens- und Strategieberatung McKinsey der Digitalisierung im deutschen Mittelstand bis 2025 bei. Ein riesiges Wachstumsfeld und trotzdem oder gerade deshalb reibt man sich bei einem weiteren Ergebnis der Befragung ungläubig die Augen. Denn nur etwa die Hälfte aller 200 befragten Mittelständler nimmt die Digitalisierung überhaupt als Chance war.

Jeder zweite erkennt in ihr und zugrundeliegenden Konzepten, wie Cloud Computing, in erster Linie eine Bedrohung. Fast 50 Prozent glauben nicht, dass das eigene Unternehmen von der digitalen Revolution profitieren wird.

Wie kann das sein? Vielleicht, weil viele den digitalen Wandel weiter als bloßes Mittel zur Produktivitätssteigerung missverstehen und dabei seinen Beitrag zur Entstehung neuer, innovativer Geschäftsmodelle verkennen? Vielleicht aber auch aus einem viel menschlicheren Grund. Denn die Digitalisierung bedeutet in erster Linie eines: die Abkehr vom Status quo.

Digitalisierung bedeutet einen partiellen Hoheitsverlust

Viele deutsche Mittelständler sind extrem erfolgreich. Als Hidden Champions geben sie auch im globalisierten Marktumfeld in zahlreichen Branchen den Takt vor. Technologische Rückständigkeit erklärt ihre Digitalisierungs-Skepsis deshalb bei weitem nicht, ganz im Gegenteil! Gerade sein technisches Know-how sichert dem deutschen Mittelstand das Überleben.

Diesen Vorsprung sehen viele Firmenlenker durch die zunehmende Vernetzung gefährdet, denn in den meisten Fällen beinhaltet ein umfassendes Digitalisierungskonzept einen stückweiten Hoheitsverlust über die eigenen Daten. Gerade der Auslagerung in die Cloud oder der Initialisierung neuer Projekte stehen viele Unternehmen deshalb skeptisch gegenüber, zu groß ist ihre Sorge vor Datenverlust und Wirtschaftsspionage. Auch in der öffentlichen Verwaltung reicht das Vertrauen nicht viel weiter.

Cloud-Migration: ein Paradigmenwechsel

Viele Cloud-Anbieter reagieren auf diese Bedenken mit regionalen Rechenzentren, Google und Microsoft sind nur zwei der vielen Anbieter mit physischer Präsenz im deutschen Markt. Doch welchen Einfluss haben Anwender wirklich, wenn es um den Standort ihrer Daten in der Cloud geht? Welche Compliance-Regeln gilt es, in diesem Zusammenhang zu beachten, und wie schützt man die Daten in der Wolke wirksam? Machen deutsche, machen innereuropäische Cloud-Rechenzentren einen Unterschied, sind sie sinnvoll?

Eines gleich vorweg: die Cloud, egal ob international oder regional, ist sicher. Punkt. Meist sogar sicherer als die eigene On-Premises-Lösung es realistisch gesehen jemals war oder sein könnte. Wieso? Erstens, weil es im natureigenen Interesse der Anbieter liegt, dem Schutz der Kundendaten höchste Priorität einzuräumen und so das Vertrauen in die eigenen Geschäftsmodelle zu zementieren.

Zweitens, weil das IT-Know-how der großen etablierten Anbieter – und nur sie sollten als Partner bei der Cloud-Migration in Frage kommen – naturgemäß viel tiefer reicht, als das bei KMUs oder der öffentlichen Hand der Fall ist. Zu unterschiedlich ist es um die Ressourcenausstattung und Spezialqualifikation der Mitarbeiter bestellt. Das gilt im Übrigen auch für die meisten Großkonzerne, nur verfügen die theoretisch über ausreichende Mittel, um dieser Problematik wirksam entgegen zu treten.

Um die Integrität der Systeme muss man sich in der Wolke also üblicherweise keine Sorgen machen, um die Integrität der Inhalte allerdings schon. Die Cloud verlangt hier also einen stückweiten Paradigmenwechsel. Während man früher im wahrsten Sinne des Wortes Schutzwälle und Sicherheitsschleusen um die eigenen Systeme gezogen, die eigene Infrastruktur also so gut wie möglich vor äußeren Einflüssen abgeschottet hat, gibt man sie jetzt freiwillig in fremde Hände. Das verlangt ein gewisses Umdenken: Heute schützt man Daten unabhängig vom System, auf dem sie sich befinden. Man führt genau Buch darüber, wer auf sie zugreift, wie sie sich bewegen, wer sie verschickt.

Identity und Access Management sind das A und O

Identity und Access Management werden also immer wichtiger, genauso gewinnen Verschlüsselungstechnologien und die zugrundeliegenden Konzepte an Bedeutung. Dabei gilt es zu klären, wie hoch das eigene Schutzbedürfnis wirklich ist. In welchem Aggregatzustand benötige ich Verschlüsselung für meine Daten? Zumindest die Data-at-Rest- für gespeicherte Daten und die Data-in-Motion-Verschlüsselung während der Datenübertragung sollten Standard sein.

Ist man sich in diesem Bereich klar über die eigenen Anforderungen, treten auch ein stückweit mediengeschürte Ängste um vermeintlich staatlich verordnete (Wirtschafts-)Spionage bei internationalen Cloud-Anbietern schnell in den Hintergrund. Denn selbst wenn Zweifel an der Vertrauenswürdigkeit der Provider angebracht wären, würden auch Geheimdiensten unverständliche, weil stark verschlüsselte, Rohdaten nichts nützen. Denn die wahllose Aneinanderreihung von Einsen und Nullen taugen zum Nachbau von Turbinen, Dampfreinigern und Roboterarmen nicht ganz.

Auch wenn die Sorge vor staatlich verordneter Pflichtverletzung auf Seiten der Anbieter in den allermeisten Fällen also wohl im Reich der Mythen verordnet sein dürfte, gilt es trotzdem andere Fallstricke bei der Auslagerung von Daten zu internationalen Anbietern zu vermeiden, Stichwort: Compliance.

Datenschutz-Vorgaben im Cloud-Kontext

Die Cloud ist ein extrem schnelllebiges Konstrukt, gerade darin liegt ihr Reiz. Sie erlaubt es, Innovationen schnell und unkompliziert zu implementieren, fehlerhafte Ideen ohne hohen Kapitalverlust schnell wieder einzustampfen. Weniger rasch passen sich da Richtlinien und Normen an neue Gegebenheiten an.

Die Überprüfung unternehmensinterner Compliance-Prozesse ist zeitaufwändig, der staatliche Gesetzgebungsprozess auf Bund- und Länderebene langwierig. Schnell sieht man sich hier mit Vorgaben konfrontiert, die bei der Cloud-Migration internationale Anbieter kategorisch ausschließen. Gerade, wenn es um Datenschutz geht, sind die Regeln in Deutschland und Europa streng. Vor allem öffentliche Organisationen haben zum Teil mit Vorgaben aus einer Zeit zu kämpfen, in der Cloud Computing noch kaum ein Thema darstellte, und die ihnen somit die Auslagerung von Daten ins Ausland bzw. zu ausländischen Anbietern nur unter ganz bestimmten Voraussetzungen erlauben.

Im nächsten Jahr mit der Einführung der Europäischen Datenschutz-Grundverordnung (EU-DSVGO) verschärfen sich die Vorgaben für Datenschutz in der gesamten EU noch weiter. Organisationen, die die Informationen von EU-Bürgern verarbeiten, müssen dann nachweisen, dass sie ihre Pflichten zum Schutz dieser vollumfänglich erfüllen. Tun sie das nicht, riskieren sie Strafen in Höhe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Auch private Unternehmen favorisieren deshalb mittlerweile die Auslagerung ihrer Daten zu regionalen und/oder speziell zertifizierten Cloud Partnern, um hier gleich im Vorfeld potentielle Probleme auszuschließen.

Cloud ist nicht gleich Cloud

Insgesamt gilt es in diesem Zusammenhang drei unterschiedliche Konstrukte von Cloud-Rechenzentren zu unterscheiden:

  • 1. Ein ausländischer Cloud-Provider betreibt das Rechenzentrum im internationalen Ausland.
  • 2. Ein ausländischer Cloud-Provider betreibt ein Rechenzentrum im Lande bzw. in der EU, die Datenhaltung findet garantiert in diesem Land bzw. innereuropäisch statt.
  • 3. Ein inländischer bzw. innereuropäischer Cloud-Provider betreibt ein inländisches bzw. innereuropäisches Rechenzentrum, die Datenhaltung findet garantiert in diesem Land bzw innereuropäisch statt.

Variante 1 ist in praktisch allen Fällen, in denen der Standort von Daten eine Rolle spielt, problematisch. Das ist es schon alleine, weil es aus logistischen Gründen für Kontrollinstanzen, wie Datenschutzbehörden, nicht möglich bzw. praktisch umsetzbar ist, die Wahrung aller Vorgaben per Audit zu prüfen.

Zudem ist es schwer, geltende Datenschutzgesetze einzuhalten, wenn die Daten in einem Land verarbeitet werden, das keinen oder nur einen unzureichenden Datenschutz aufweist. Ausnahmen bestätigen die Regel, etwa wenn Betreiber und Rechenzentrum über vertragliche Vereinbarungen zum Datenschutz, zum Beispiel die EU-Standardvertragsklauseln, oder Compliance-relevante Zertifizierungen, wie das European Privacy Seal, verfügen.

Variante 2 ist weniger problematisch, insbesondere dann, wenn das Rechenzentrum über die notwendigen Zertifizierungen verfügt. Es sind aber Fälle denkbar, in denen die Datenspeicherung über internationale Provider nicht zulässig ist, etwa weil sie zusätzlich zu EU-Recht der Gesetzgebung in ihrem Heimatland unterworfen sind und so theoretisch gezwungen werden könnten, sensible Daten auf Verlangen staatlicher Behörden herauszugeben.

Variante 3 stellt aus Compliance-Sicht den Königsweg dar. Nicht umsonst bietet Microsoft seine Cloud hierzulande als Microsoft Azure Deutschland im Verbund mit der deutschen Telekom an. Das Hosting aller Cloud-Dienste erfolgt dabei in deutschen Rechenzentren der Telekom-Tochter T Systems. Die Telekom fungiert darüber hinaus als sogenannter Datentreuhänder, die Daten der Kunden verlassen also zu keinem Zeitpunkt das Land oder die Server eines deutschen Unternehmens. Für die Anwender ist sogar T-Systems, nicht Microsoft, Vertragspartner. Rechtsstandort ist damit Deutschland. Das ist aus Compliance-Sicht vorbildlich und deshalb oft eine sehr sinnvolle Lösung.

Mein Fazit

Die deutsche, die europäische Cloud, bzw. dort verortete Rechenzentren machen Sinn, sind aber bei weitem kein Muss. Auch wenn die Bedenken gegenüber Cloud Computing in KMUs und der Verwaltung nachvollziehbar sind, entbehren sie bei näherer Betrachtung oft jeder Grundlage. Daten in der Cloud sind – der richtige Umgang vorausgesetzt – mindestens so sicher wie in jedem On-premises Rechenzentrum.

Für den Schritt in regionale Rechenzentren gibt es deshalb faktisch gesehen nur zwei wirklich vernünftige Gründe. Erstens, wenn Compliance-Vorschriften und gesetzliche Normen eine Datenhaltung im Inhalt bzw. im europäischen Ausland fordern. Zweitens, wenn es zur Kundenbindung oder als vertrauensbildende Maßnahmen zum Geschäftserfolg beiträgt.

Schlussendlich ist es aber auch wichtig, sich nicht nur technisch und aus rein faktengetriebener Sicht mit der Thematik zu befassen. Man muss vor allem ein Auge auf die ganz individuellen Wünsche, Anforderungen, Ziele und rechtlichen Aspekte aller an einer eventuellen Cloud-Migration Beteiligten werfen.

Auch wenn sich einige Bedenken als haltlos erweisen, können sie trotzdem als wichtige Entscheidungsgrundlage dienen. Denn am Ende ist Cloud Computing an sich nicht das Ziel, sondern ein Mittel um seine Ziele zu erreichen. Hier kann es keinen On-Size-Fits-All-Ansatz geben, sondern nur immer eine ganz individuelle Bedarfsanalyse. Außerdem kann es ratsam sein, sich für den Weg in die Cloud einen externen Berater mit an die Seite zu nehmen. Dann klappt es auch mit der Digitalisierung in Mittelstand und Verwaltung.

* Florian van Keulen ist Principal Consultant Cloud Security bei der Trivadis AG.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45007386 / Virtualisierung)