Klarheit für nebulöse Cloud-Leistungen

Wie lassen sich Cloud-Verträge so gestalten, dass später keine Unstimmigkeiten auftreten? Dazu müssen im Wesentlichen fünf Fragenkomplexe erörtert und geklärt werden:

1. Customizing von Standardverträgen für eigene Bedürfnisse

Einerseits sieht Cloud Computing "Out of the Box" grundsätzlich keine Anpassung von Services an individuelle Unternehmensbedürfnisse vor. Andererseits ergibt die Nutzung eines vollständig standardisierten Service in der Praxis nicht immer Sinn. Die Folge: Häufig werden Cloud-Dienstleistungen an die Anforderungen der Auftraggeber angepasst. Beispielsweise lassen sich Services mit großem Funktionsumfang durch Setzen von Parametern auf das gewünschte Maß reduzieren, oder es werden nicht benötigte Module separiert.

Allerdings ist der Umfang einer Anpassung in der Praxis typischerweise gering. Vorab sollte geprüft werden, ob eine Anpassung im erforderlichen Maß überhaupt möglich ist und welche zusätzlichen Kosten hierdurch entstehen. Denn von den Kostenvorteilen des Cloud Computings profitiert eigentlich nur, wer keine gravierenden Änderungen vornimmt.

Neben der Kostenregelung für die Anpassung von Services ist bei der Vertragsgestaltung vor allem auf eine sorgfältige Leistungsbeschreibung zu achten. Nur damit lässt sich feststellen, ob der Vertrag erfüllt wurde beziehungsweise eine Nicht- oder Schlechtleistung vorliegt und welches Gewährleistungsrecht greift.

Schließlich muss der Vertrag folgende Punkte regeln: die Beschaffenheit der Hard- und Software, die Schnittstellen zwischen Cloud-Anbieter und -Nutzer sowie die Übergabe der Leistungen. So lässt sich sicherstellen, dass die Services auch in das Unternehmenssystem integriert werden können.

Die wichtigsten Fragen zum Customizing:

• Können die Services angepasst und technisch in das System des Unternehmens integriert werden?

• Wer trägt welche Kosten?

• Sind die individualisierten Services im Vertrag detailliert beschrieben?

• Ist vertraglich geregelt, welche Beschaffenheit die Software und Hardware des Nutzers aufweisen muss?

• Wurden Schnittstellen und Übergabe der Services genau festgelegt?

Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen:

Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung.

Punkt 2:
Version in der Landessprache des Kunden.

Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn.

Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden").

Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!).

Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen).

Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte).

Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail).

Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?).

Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden).

Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden).

Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier.

Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren.

Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).

2. Die Sicherheit der Unternehmensdaten

Unternehmen, die ihre Daten "aus der Hand geben" und in der Cloud speichern, wollen zumindest "Herr ihrer Daten" bleiben und permanent auf sie zugreifen können. Wie aber lässt sich die Sicherheit der Unternehmensdaten vertraglich gewährleisten?

Um sich gegen Datenverlust effektiv abzusichern, sollte der Cloud-Nutzer im Vertrag festlegen, welche Daten der Anbieter selbst wie und in welchen Abständen sichern soll und ob beziehungsweise wann Sicherungen gelöscht werden können. Werden für die Sicherung Online-Backups in der Cloud genutzt, muss die ständige Verfügbarkeit des Services "Datenspeicherung" gewährleistet sein.

Nutzt ein Unternehmen gleich mehrere Clouds, so bietet sich eine "Multi-Cloud-Lösung" an, sprich: die mehrfache Speicherung der Daten in verschiedenen Wolken. Die alternativen Cloud-Dienste sollten dabei von unterschiedlichen Anbietern zur Verfügung gestellt werden, und beim Ausfall einer Cloud muss es möglich sein, sofort auf einen alternativen Service zurückzugreifen. Steuerung und Überwachung der Clouds lassen sich über End-to-End-Monitoring oder Cloud-Service-Management umsetzen.

Besonders sensible Daten sollten die Unternehmen zusätzlich selbst sichern ("hybrider Lösungsansatz") - und zwar regelmäßig. So bleibt der Datenzugriff auch bei unterbrochener Internetverbindung erhalten. Ferner macht sich das Unternehmen damit unabhängiger vom Anbieter.

Dennoch können Daten verloren gehen. Deshalb muss der Vertrag ein Konzept für die Datenwiederherstellung enthalten. Es regelt, wie bei Datenverlusten zu verfahren ist. Bestimmt werden sollten die Dauer des maximalen Systemausfalls und der Zeitraum vom Schadenseintritt bis zum Einspielen der Backups in ein lauffähiges System.

Zudem muss sich das Unternehmen überlegen, ob und in welchem Umfang es Datenverluste hinnehmen kann. Hierzu wird der Zeitraum zwischen den Datensicherungen bestimmt. Das Datenaufkommen und die Transaktionen zwischen den Sicherungen stellen die maximale Datenverlustmenge dar.

Schließlich sind die Kosten der Datenwiederherstellung zuzuweisen und die Haftung für die Schäden zu regeln, die mittelbar durch den (vorübergehenden) Datenverlust entstehen. Bietet der Cloud-Anbieter Disaster-Recovery-as-a-Service an, sollte der Kunde genau prüfen, ob dieser Service ausreichenden Schutz schafft.

Die wichtigsten Fragen zur Datensicherung:

• Ist der Anbieter vertraglich verpflichtet, regelmäßig Backups durchzuführen? Reicht das Backup aus? Können mehrere Backup-Verfahren kombiniert werden?

• Muss der Anbieter umfassend Bericht erstatten?

• Enthält der Vertrag ein Konzept zur Datenwiederherstellung? Bietet der Anbieter Disaster-Recovery-as-a-Service an? Gewährt dieser Service ausreichenden Schutz? Sind weitere individuelle Vereinbarungen notwendig?

• Sind Datensicherung und -wiederherstellung im Zusammenhang mit der Verfügbarkeit in den SLAs (Service Level Agreements) geregelt?

Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen:

Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da

Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen.

Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter.

Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers.

Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet.

Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software.

Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig.

Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.

3. Regeln für den Umgang mit personenbezogenen Daten

In der Cloud werden häufig auch personenbezogene Daten verarbeitet und gespeichert. Es handelt sich um eine Auftragsdatenverarbeitung, bei der der Anbieter die Daten des Nutzers in dessen rechtlicher Risiko- und Verantwortungssphäre verarbeitet und speichert.

Nach dem Bundesdatenschutzgesetz (BDSG) müssen die Parteien den Vertrag über die Auftragsdatenverarbeitung in schriftlicher Form schließen. Es sind Regelungen zur Berichtigung, Löschung und Sperrung von Daten sowie zum Einräumen von Kontrollrechten zugunsten des Kundenunternehmens zu fixieren.

Daneben muss geklärt werden, ob der Anbieter zur Erfüllung seiner vertraglichen Pflichten Dritte beauftragen darf. Da der Kunde auch in diesem Verhältnis verantwortlich bleibt, sollte eine Unterbeauftragung vertraglich ausgeschlossen oder von der Zustimmung des Unternehmens abhängig gemacht werden. Ferner muss der Kunde gegenüber dem Anbieter weisungsberechtigt sein.

Die wichtigsten Fragen zur Auftragsdatenverarbeitung:

• Haben die Parteien einen schriftlichen Vertrag zur Auftragsdatenverarbeitung im Sinne des BDSG geschlossen?

• Ist die Zulässigkeit von Unterbeauftragungen durch den Anbieter geregelt?

• Wurde dem Kunden ein Weisungsrecht gegenüber dem Anbieter eingeräumt?

• Kann das Unternehmen die Einhaltung der datenschutzrechtlichen Vorgaben beim Anbieter oder Subunternehmer auf geeignete Weise kontrollieren?

4. Vereinbarungen über die Geheimhaltung

Sensible Daten, die in der Cloud verarbeitet und gespeichert werden, müssen vor Kenntnisnahme durch Unbefugte geschützt werden. Geheimhaltungsabreden sind daher sinnvoll.

Bereits bei der Projektplanung im Vorfeld des Vertragsabschlusses können Daten an Unbefugte gelangen. Hier ist der gesetzliche Schutz oft unzureichend. Deshalb sollten die Parteien bereits für diese Phase eine Geheimhaltungsvereinbarung ("Non-Disclosure Agreement") schließen. Wird im Anschluss ein Vertrag über Cloud-Services geschlossen, sind die Abreden anzupassen und zu erweitern. Wer sich auf frühere Vereinbarungen aus der Projektplanungsphase bezieht, muss aufpassen: Häufig betreffen sie nur die Anbahnungsphase und nicht die Laufzeit. Zudem ist bei Vertragsschluss festzulegen, dass Absprachen über das Vertragsende hinaus gelten.

Ebenfalls sinnvoll ist es, diese Absprachen zusätzlich mit Vertragsstrafen abzusichern. Denn im Fall einer Preisgabe von Informationen kann der Geschädigte den verursachten Schaden kaum nachweisen. Bedient sich der Anbieter Dritter zur Erfüllung seiner Pflichten, sollte er verpflichtet werden, auch den Subunternehmern die Geheimhaltungspflichten aufzuerlegen.

Die wichtigsten Fragen zur Geheimhaltung:

• Wurden für die Projektplanung Geheimhaltungsabreden getroffen?

• Sind die Vereinbarungen bei Vertragsschluss erneuert und erweitert worden?

• Gelten die Vereinbarungen über das Vertragsende hinaus?

• Sind die Abreden mit Vertragsstrafen abgesichert?

• Wurde dem Unternehmen ein Auditrecht eingeräumt?

• Ist die Geheimhaltung bei Verpflichtung von Subunternehmern gewährleistet?

5. Die Bedeutung des Exit-Managements

Bei Vertragsende befinden sich die Unternehmensdaten auf dem System des Anbieters. Wie damit umzugehen ist, muss im Exit-Management festgelegt werden: Sollen die Daten zurückgegeben oder gar vernichtet werden? Zu regeln sind auch der Übermittlungsweg und das Dateiformat.

Für den Fall, dass das Unternehmen seine Daten nicht abholt, muss dem Anbieter das Recht zustehen, sie einseitig zu löschen. Er muss sämtliche Kundendaten, die auf seinen Systemen liegen, vollständig (!) entfernen - nicht nur per Knopfdruck. Gut beraten ist, wessen Vertrag ein qualifiziertes Löschungsverfahren mit technischer Beschreibung der Vorgehensweise vorgibt. Damit wird der Anbieter verpflichtet, Unternehmensdaten zu überschreiben und zufällig erzeugte Daten aus seinem System endgültig zu entfernen.

Die wichtigsten Fragen zum Exit-Management:

• Enthält der Vertrag überhaupt ein Exit-Management?

• Ist die Datenrückgabe geregelt?

• Wurde ein qualifiziertes Datenlöschungsverfahren festgelegt? (qua)

(COMPUTERWOCHE/ad)