Was Experten raten
Cloud-Daten sicher löschen
So werden Kundendaten gelöscht
In der Praxis verläuft das Procedere zum Löschen der Kundendaten überall ähnlich. "Gängige Praxis ist es, dass uns der Kunde per E-Mail über den Wunsch nach Datenlöschung informiert", schildert Weclapp-Geschäftsführer Özdil. Dann werde für sämtliche Informationen, die mit einem Kunden zusammenhängen, ein Löschauftrag erstellt und der Prozess nachts ausgeführt. Nach erfolgter Annullierung wird der Kunde automatisch per E-Mail benachrichtigt.
Mit der Eliminierung der Kundendaten gibt die Datenbank den Speicherplatz frei, sodass er komplett wieder mit anderen Daten überschrieben werden kann. "Mit jedem neuen Kunden wird dann die Wahrscheinlichkeit größer, dass die abgelegten Daten wieder überschrieben werden", so Özdil. "Wir kommen dann an die Daten nicht mehr heran."
Theoretisch könnte sich der Kunde selbst überzeugen, dass die Daten gelöscht wurden oder dass zumindest alle technischen und organisatorischen Maßnahmen ordnungsgemäß eingehalten werden. Dazu müsste er sich aber vertragsrechtlich Audit-Rechte einräumen lassen.
Doch das ist pure Theorie. Abgesehen davon, dass es technisch kaum machbar ist, sich von der Datenlöschung zu überzeugen, würde kein Cloud-Anbieter einem Kunden ein solches Recht einräumen. "Solche Audit-Rechte und damit Prüfrechte hinsichtlich ordnungsgemäßer Löschung will kein Provider im Vertrag haben", sagt IT-Rechtsexperte Rath. Schließlich wolle kein Cloud-Anbieter mit seinen stark standardisierten Services, dass Heerscharen von Kunden durchs Rechenzentrum laufen. Ohne ausreichende Detailkenntnisse würde ein Kunde dies zum einen selbst auch kaum überblicken können, zum anderen würde ein solcher Nachweis für die Cloud-Anbieter einen erheblichen Zusatzaufwand bedeuten.
Sinnvoll kann es jedoch sein, sich Audit-Rechte auf Dokumente, Beschreibungen und Protokolle einräumen zu lassen, um zum Beispiel den korrekten Ablauf von Löschprozessen nachvollziehen zu können. Zudem können Zertifizierungen gefordert werden, die einen Mindeststandard bezüglich der Informationssicherheit gewährleisten. Eurocloud bietet beispielsweise mit dem "Eurocloud Star Audit" solche Zertifizierungen an. "Dadurch wird ein Prozess etabliert, mit dem die Kundendaten komplett gelöscht werden, sobald ein Kunde ausscheidet", sagt Eurocloud-Chef Becker.
- Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen: - Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung. - Punkt 2:
Version in der Landessprache des Kunden. - Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn. - Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden"). - Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!). - Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen). - Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte). - Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail). - Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?). - Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden). - Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden). - Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier. - Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren. - Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).