Cloud-Computing für Unternehmen

Der Trend zum Auslagern von IT-Diensten (Cloud-Computing) gewinnt immer mehr Anhänger: Sowohl im privaten als auch im geschäftlichen Umfeld werden Dienste für Datensicherung, Dokumentenmanagement, allgemein Rechenleistung oder komplette Anwendungssoftware bei externen Anbietern angemietet, anstelle die dafür notwendige Hard- und Software selbst zu betreiben. Trotz der vorhandenen Vorteile von Cloud- Lösungen sollten Unternehmer auch die Nachteile im Blick behalten – insbesondere bei geschäftskritischen Daten.

Cloud-Lösungen für Unternehmen werden heute breit beworben. Ob Dokumentaustausch, Zeiterfassung, Fahrtenbuch, Kunden- und Auftragsverwaltung, Buchhaltung, Steuerberechnung: Es gibt für alles ein entsprechendes Cloud-Angebot. Die angeführten Hauptvorteile sind dabei immer gleich und sehen so aus:

  • Einfacher Start, zeitsparend: Keine Installation und keine eigene Hardware notwendig. Daher auch keine Updates für Hard- oder Software und kein damit verbundener Zeit- oder Kostenaufwand
  • Arbeit von unterwegs: Der Anwender benötigt nur eine Internetverbindung und einen Browser
  • Hohe Sicherheit: Die Rechenzentren (RZ) der Cloud-Anbieter werden von Profis betreut und sind statistisch gesehen sicherer als die lokalen IT-Installationen vieler kleiner Unternehmen
  • Kostengünstig und planbar: Cloud-Dienste werden meist per Monatsabo abgerechnet, die Leistungen können kurzfristig an einen veränderten Bedarf angepasst werden.

Diese Vorzüge von Cloud-Lösungen sind natürlich sehr verlockend. Welcher Unternehmer träumt nicht davon, die eigene Verwaltungsinfrastruktur zu verschlanken? Allerdings gibt es hier wichtige Aspekte, welche auf den Seiten der Cloud-Anbieter nicht so prominent dargestellt werden.

Die Risiken kennen
Unternehmer müssen heute beim Abwägen von Risiken mehr Aspekte berücksichtigen als jemals zuvor. Beim Einsatz von Cloud-Lösungen stellen sich neben dem finanziellen Aufwand vor allem diese Fragen:

  1. Ist die Anwendung unternehmenskritisch?
  2. Was bedeutet das Auslagern der Anwendung für bestehende Verhältnisse zu Kunden und Geschäftspartnern?
  3. Kann das Einhalten von Gesetzen (insbesondere Steuer- und Datenschutzgesetze) garantiert und kontrolliert werden?

Unternehmenskritische Anwendungen

Als unternehmenskritisch werden Anwendungen bezeichnet, deren Ausfall ernsthafte Folgen für den Erfolg oder Bestand der Firma hätte:

  • Ein Ausfall der Warenwirtschaft bei einem Onlineshop führt zum Stillstand des kompletten Geschäfts: Eingehende Ware kann nicht gelistet werden, Kundenbestellungen können nicht bearbeitet werden
  • Die Buchhaltung ist mehrere Tage nicht verfügbar und die Frist für die Steuermeldung verstreicht oder der Steuerprüfer sitzt im Büro und verlangt Einsicht
  • Der Anbieter eines Online-Versionskontrollsystems wird Opfer eines RZ-Ausfalls mit Datenverlust 4,5), Kunden (Softwareentwickler) ohne tagesaktuelles lokales Backup verlieren Tage oder Wochen bereits geleisteter Arbeit

Die Wahrscheinlichkeit solcher Vorfälle ist möglicherweise nicht sehr hoch, auszuschließen sind sie deswegen aber nicht. Sie sind schon passiert und sie werden wieder passieren. Sie erhöhen das geschäftliche Risiko, dessen Minimierung eine der wichtigsten Aufgaben eines Unternehmers ist. Einen Cloud-Anbieter, der ihnen 100% Verfügbarkeit garantiert, können Sie getrost als unseriös betrachten.

Der Amazon-Technik-Vorstand (CTO) Werner Vogels, zuständig für eine der größten Cloud- Infrastrukturen der Welt, sagt dazu: „Alles geht schief. Immer wieder“. Firmen müssen sich auf Cloud-Ausfälle einstellen 4,5).

Und woran viele heute gar nicht mehr denken: Cloud-Anwendungen benötigen schnelles Internet, um ihr Versprechen des grenzenlosen Zugangs zu erfüllen. Zum Ausfallrisiko des Cloudanbieters addiert sich also noch das Ausfallrisiko des Internetproviders. Und einen physisch getrennt angebundenen, zweiten „Fallback-Provider“ werden sich die wenigsten kleinen Unternehmen leisten wollen.

Rechtliche Grenzen

Auch rechtliche Fragen müssen bei der Entscheidung zur IT-Strategie betrachtet werden. Diese ergeben sich z. B. aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO). Konkret geht es hier um Aufbewahrungsfristen, Anmeldungs- und Abgabefristen, Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD). Kann der Unternehmer bei einer cloud- basierten Buchhaltung z. B. die geforderte Manipulationssicherheit gewährleisten? Wohl eher nicht, denn das technische System unterliegt nicht seiner Kontrolle.

Schwierig kann es auch beim aktuellen Thema Datenschutz werden. Wenn personenbezogene Daten gespeichert oder verarbeitet werden, ist ein Vertrag zur Auftragsverarbeitung (AV) mit dem Cloud-Anbieter obligatorisch. Darüber hinaus ist die europäische Datenschutzgrundverordnung (DSGVO) ein überaus komplexes Regelwerk. Für den Unternehmer ist es in vielen Fragen schwierig zu entscheiden, ob das Verlagern der Daten von Kunden und Geschäftspartnern in die Cloud rechtlich zulässig ist oder ob hier Einzelvereinbarungen notwendig werden.

Haftung ohne Kontrolle

Google weist über 30.000 Treffer bei der Suche nach „Kundendaten gehackt“ aus. Und das sind nur bekannt gewordene Fälle, die Dunkelziffer ist vermutlich größer. Betroffen sind Firmen aller Größenordnungen, auch ausgewiesene „Tech-Unternehmen“ bleiben nicht verschont. Und wenn man Details nachliest, sind nicht selten externe Rechenzentren, also Clouddienste, betroffen.

Wer haftet im strafrechtlichen Sinne, wenn sensible Daten von Kunden oder Geschäftspartnern durch Hacking in die Öffentlichkeit gelangen. Selbstverständlich der Unternehmer, welcher die Daten erhoben hat. Das gilt natürlich auch, wenn die Daten nur lokal gespeichert waren und dort gehackt wurden. Aber bei dieser Konstellation hat der Unternehmer neben der Haftung auch die Kontrolle und ist damit zurecht zuständig.

Das Auslagern von Datenverarbeitung zu einem Cloudanbieter bedeutet: Der Unternehmer haftet für alle mit der externen Datenverarbeitung in Zusammenhang stehende Fehler, ohne Kontrollmöglichkeit und Verantwortung für die dahinter stehenden technischen und organisatorischen Abläufe.

Die größten Cloud-Risiken im Überblick  1,2,3)

  • Verletzung der Vertraulichkeit und Integrität der Daten
  • Löschung von Daten nicht kontrollierbar
  • Ungenügende Mandantentrennung
  • Verletzung von Steuer- oder Datenschutzgesetzen
  • Insolvenz des Cloudanbieters
  • Intransparente Subunternehmer des Cloudanbieters
  • Beschlagnahmung von Hardware beim Cloudanbieter
  • Erpressungsversuche (z. B. durch gekündigte Mitarbeiter des Cloudanbieters)
  • Unzureichende oder nicht funktionierende Datensicherung

Bewusst entscheiden
Beim Thema Cloud-Computing vs. lokale Datenhaltung gehen die Meinungen weit auseinander. In den meisten Fällen wird es dann auch gemischte Szenarien geben. Kaum ein Unternehmen verzichtet heute zu 100% auf jegliche Cloudanwendungen, dafür sind die Vorteile in bestimmten Bereichen einfach zu groß.

Dieser Artikel plädiert dafür, sich auch die nicht so offensichtlichen Risiken von Clouddiensten bewusst zu machen und in die Entscheidung pro oder contra Cloud mit einzubeziehen. Wer bei kritischen Anwendungen auf Clouddienste setzt, benötigt ein Konzept für den Umgang mit Ausfällen. Denn „Alles geht schief. Immer wieder“.

 

Quellen:

1) https://www.computerwoche.de/a/ratgeber-it-sicherheit,2363872,2
2) https://www.informatik-aktuell.de/betrieb/virtualisierung/risiken-des-cloud-computings- abschied-von-wolke-sieben.html
3) https://www.cloudcomputing-insider.de/die-10-groessten-gefahren-beim-einsatz-von-cloud- infrastrukturen-a-517146/
4) https://www.zeit.de/digital/internet/2017-03/amazon-aws-s3-cloud-ausfall-infrastruktur- internet-der-dinge/seite-2
5) http://winfuture.de/news,103380.html

 

Archiv