Sourcing aus der Cloud
Ohne Cloud-Policy wird das Risiko zu groß
Compliance-gerechter Umgang mit den Diensten
Um beim Beispiel der CRM-Lösung zu bleiben: Sie berührt wie viele andere Cloud-Dienste ganz wesentlich den Datenschutzaspekt. Das gilt nicht nur hinsichtlich der Frage, in welchem Rechtsraum Daten gespeichert werden und wie eine sichere Übertragung zu gewährleisten ist. Auch Aspekte des Umgangs mit den Daten und ihre Rückführung nach Beendigung des Cloud-Vertrags zählen zu den vielfältigen rechtlichen Fragen, die gestellt und beantwortet werden müssen.
Insofern gehört zur Grundidee einer IT-Policy, dass sie insgesamt die Erfordernisse eines Compliance-gerechten Umgangs mit den Cloud-Diensten festschreibt. Das schließt eine umfassende Risikoanalyse ein, die bis zur Bewertung der Marktstabilität des Providers reicht. Sie muss auch die möglichen Auswirkungen für den Fall betrachten, dass der Dienst vom Markt genommen werden sollte oder aus anderen Gründen nicht mehr nutzbar ist. Überhaupt dient die IT-Policy auch dazu, einen genauen Blick darauf zu richten, ob die jeweilige Cloud-Lösung Widersprüche mit der Business-Continuity-Strategie aufweist.
Qualitäts-Management ist wichtig
Die unternehmensspezifischen Regeln sollten Vorgehensweisen für die Auswahlprozesse definieren - angefangen von der Anforderungsanalyse und die systematische Nutzenbewertung über die rechtliche Prüfung bis zur Entwicklung eines Betriebskonzepts. Die Marktevaluierung von technischen Lösungen gehört nun aber nicht zu den Kernkompetenzen eines Fachbereichs, der hierfür im Regelfall auch nur über geringe Erfahrung verfügt. Schon deshalb sollten solche Vorgehensmodelle zum Bestandteil der Cloud-Policy gemacht werden. Das versetzt die dezentralen Organisationseinheiten in die Lage, Dienste eigenständig auszuwählen. Die Alternative wäre eine geregelte Kooperation mit der IT hinsichtlich der Marktevaluierung.
Ein andrer Punkt mit wesentliche Bedeutung ist das Qualitäts-Management. Es wird umso wichtiger, als die Cloud-Dienste im Regelfall fest definierte und nicht oder nur schwer individuell anpassbare Service-Levels aufweisen. Die SLAs müssen dem allgemeinen Qualitätsbedarf in den jeweiligen Geschäftsprozessen entsprechen. Sonst besteht die Gefahr, dass die Cloud-Lösung zum Flaschenhals der Geschäfts-Performance wird.
Also gilt es, die Qualitäts- beziehungsweise Service-Levels für die Evaluierung der Dienste schon vorab genau zu definieren. Ebenso sind in den Richtlinien praxisgerechte Verfahrensweisen für ein Monitoring und Reporting der Dienste zu beschreiben.
- Checkliste für sicheres Cloud Computing
Anwender, die Leistungen von einem externen Cloud-Provider beziehen, bleiben für den Schutz von übertragenen Daten stets haftbar. Sie sollten daher entsprechende Vorsorge treffen. Einige Tipps dazu finden Sie auf den folgenden Seiten. - Tipp 1:
Unerlässlich für jeden Cloud-Anwender ist es, einen Vertrag über Auftragsdatenverarbeitung gemäß Paragraph 11 des Bundesdatenschutzgesetzes abzuschließen. - Tipp 2:
Der Cloud-Provider muss angemessene technische und organisatorische Maßnahmen vorweisen können, um die Daten vor unbefugten Zugriffen zu schützen. Gegebenenfalls sollten sich Kunden Zertifikaten unabhängiger Zertifizierungsstellen vorlegen lassen (etwa EuroPriSe, das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz aus Schleswig-Holstein). - Tipp 3:
Die Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer sollte immer verschlüsselt sein. - Tipp 4:
Die Cloud-Lösung benötigt zwingend verbindlich und verlässliche Authentizierungsmechanismen und -richtlinien. - Tipp 5:
Die Partner müssen den Umfang der Datenverarbeitung und den Datenverarbeitungszweck festlegen. - Tipp 6:
Für Kunden ist es immens wichtig, dass Sie schon zum Start des Services auch ein mögliches Ende im Blick haben. Sie sollten daher Ausstiegsszenarien prüfen. - Tipp 7:
Werden Cloud-Anbieter oder Unterauftragnehmer mit Sitz in unsicheren Drittstaaten mit dem Betrieb des Cloud-Service betraut, sollten sich Anwender mit ausreichenden Garantien absichern. Dafür eignen sich beispielsweise die von der EU-Kommission verabschiedeten Standardvertragsklauseln. - Tipp 8:
Ein Blick auf die Beteiligungsverhältnisse eines Cloud-Anbieters verschafft oft eine gute Übersicht über das geschäftliche Umfeld des Partners.