Gemäß einer BITKOM-Studie im Auftrag von KPMG nutzten 76% der Unternehmen im Jahr 2019 Cloud-Dienste. Die Studie sagt zwar nicht, wie geschäftsrelevant und umfangreich die Nutzung ist. Aber es zeigt wie Unternehmen mehr und mehr auf gemietete Rechnenleistung, Speicherplätze oder Anwendungen setzen.
Spätestens im Coronajahr 2020 haben viele Firmen schnell und flexibel auf Cloud-Dienste gesetzt, beispielsweise Microsoft Teams oder Zoom. Aber auch gemietete CRM-Systeme wie Salesforce und HubSpot oder IT-Managementsysteme wie ServiceNow kommen in Unternehmen immer mehr in Mode.
IT-Sicherheit in der Cloud
Für den sicheren Betrieb in der Cloud sollten wir die folgenden Punkte berücksichtigen.
Zwei, drei Klicks und es ist passiert – die Daten sind gelöscht. Selbst die Großen wie KPMG und deren Teams-Chat sind nicht davor gefeilt. Aber hey, mit einem Backup ist das doch kein Problem… Wie oft macht der Cloudanbieter die Backups? Müssen Sie sich selbst drum kümmern? Wie können Sie die Daten wiederherstellen?
Macht der Anbieter Sicherheitschecks und wie oft? Wie schnell werden im Fall der Fälle Updates eingespielt? Verfügt man über eine dedizierte Instanz oder nutzt man eine shared Platform?
Viele Anbieter ermöglichen die Verschlüsselung der Cloud-Daten. Praktischerweise bieten die Anbieter den Service an, die Schlüssel zu generieren. Davon raten wir grundsätzlich ab. Das Kryptomaterial sollte einzig und allein in den Händen des Unternehmens bleiben – außer es lässt sich technisch nicht vermeiden.
Ein Indiz für ein Sicherheitsbewusstsein des Cloud-Anbieters können Zertifizierung wie die ISO 9001 oder sogar die ISO 27001 sein. Der Anwendungsbereich („Scope“) sollte aber entsprechend relevant oder vergleichbar mit dem Service sein, den Sie anmieten wollen.
Datenschutz in der Cloud
Auch und gerade in der Cloud gilt die DSGVO. Nicht automatisch bedeuten Cloud-Dienste auch DSGVO-Relevanz, sondern nur wenn auch tatsächlich personenbezogene Daten verarbeitet werden. So sind Personalverwaltungs- und Kundenmanagementsysteme automatisch DSGVO-relevant.
Geht es dabei aber nur um die Speicherung von Maschinendaten oder stark anonymisierte Daten (zur Erstellung von Machine Learning-Modellen), ist die DSGVO nicht anwendbar.
Im Falle der DSGVO muss das Unternehmen den Nutzern mitgeteilen, an welche Anbieter die Daten zu welchen Zwecken übermittelt werden und die Einwilligung einholen.
Zudem ist die Frage der Serverstandorte wichtig: liegen die Server der Cloud-Anbieter innerhalb der EU? Ist eine Spiegelung der Daten in Drittstaaten ausgeschlossen? Viele Cloudanbieter werben mit Serverstandorte in Deutschland, aber erwähnen die Spiegelung in die USA nur im Kleingedruckten.
Andere Anbieter wiederum haben noch keine Funktionen für das „Recht auf’s Vergessen“ oder für die „Auskunft der gespeicherten Daten“ implementiert.
