Sicherheits-Boost für die Cloud

KMU lassen sich immer noch zu viel Zeit, um das Thema Cloud Compliance anzugehen. Das kann sie teuer zu stehen kommen, denn auch dann, wenn Daten outgesourct werden, bleibt nach wie vor das auftraggebende Unternehmen verantwortlich für sie.

Deshalb sind Firmen verpflichtet, zu überprüfen, ob ihr Cloud-Anbieter den technischen, rechtlichen, datenschutzrechtlichen und vertraglichen Sicherheitsvorgaben genügt.

Je eher sie damit starten, desto zukunftssicherer sind sie aufgestellt. Höhere Flexibilität, geringere Kosten und ein extrem reduzierter Verwaltungsaufwand – die Vorteile von Cloud Computing sind offensichtlich.

Zugleich aber verlieren die Unternehmen ein Stück weit die Kontrolle über ihre Daten, wenn sie diese in die Hände eines Cloud-Anbieters geben. Je sensibler die Unternehmens- und Kundendaten, desto stärker müssen die Sicherheitsmaßnahmen sein – und diese müssen überprüft werden.

Findet das nicht statt, haftet der Geschäftsführer. Im Grunde genommen greifen bei der Cloud Compliance dieselben Sicherheitsvorgaben wie bei der IT Compliance, wenn die Daten im hauseigenen Rechenzentrum liegen.

Fragen, die es zu klären gilt, sind beispielsweise:

• Bei welchen Daten muss höchste Sicherheitsstufe gelten?
• Wie sieht das Notfallprogramm aus, d. h., was passiert, wenn Dritte an unternehmenskritische Daten wie z. B. Forschungsergebnisse kommen?
• Wer hat im Rahmen der Administration seitens des Cloud-Providers wo, wann und wie lange Zugriff auf welche Daten?

Um sich abzusichern, empfehlen Experten, sich monatliche Sicherheitsreports des Dienstleisters geben zu lassen, die über Sicherheitsniveau und Reifegrad des Service Auskunft geben.

Kurzum: Wenngleich auch recht komplex, ist Cloud Compliance alles in allem kein Zauberwerk. Aber ausgerechnet beim Mittelstand zeigt sich bei diesem Thema vielerorts eine offene Flanke.

Zwar gibt es überall ein Mindestmaß an Compliance, doch nur selten wird die Sache systematisch und kontinuierlich verfolgt. Häufig fehlen Ressourcen, bisweilen Know-how und manchmal schlichtweg die Sensibilisierung dafür, dass überhaupt gehandelt werden muss.

Doch eine (zu) phlegmatische Haltung in Sachen Cloud Compliance kann schnell ins Geld gehen – vom drohenden Imageverlust, wenn die Sache ruchbar wird, ganz abgesehen. Es können empfindliche Strafen seitens des Gesetzgebers und Schadenersatzforderungen geschädigter Kunden drohen, wenn nicht ausreichende Schutzvorkehrungen getroffen wurden.

„Besonders kleinere und mittlere Unternehmen, die nicht wie große Konzerne über die Ressourcen verfügen, sich ausführlich mit Cloud Compliance auseinanderzusetzen, sollten sich hier externe Hilfe holen“

empfiehlt Bernd Usinger, Vorstand von Gebhardt Sourcings, dem Mutterunternehmen von der Broker2clouds, die sich auf IT-Strategieberatung spezialisiert hat.

„Das hat auch den Vorteil, dass das Thema ganzheitlich und kontinuierlich angegangen werden kann.“

IT- und damit Cloud Compliance bedeutet stetige Weiterentwicklung, um Prozesse zu optimieren und um unternehmensdefinierte Sicherheitsmaßnahmen an sich ständig ändernde Datenschutzbestimmungen anzupassen. Das IT-Beratungsunternehmen sichert seine Kunden mit speziell für den Mittelstand entwickelten Analyse-Tools ab.

Conclusion :

KMUs, die besonders stark vom Outsourcing in die Wolke profitieren, da die Cloud-Anbieter im Regelfall eine deutlich höhere Compliance garantieren können als sie selbst, müssen ihre IT-Compliance so anpassen, dass es möglich ist, die vereinbarten und geforderten Sicherheitsvorkehrungen des Dienstleisters kontinuierlich zu überprüfen. Spätestens dann erhalten auch Mittelständler in Sachen Cloud Compliance gehörig Aufwind in der Wolke.