Fabasoft : 4 Tipps für die Auswahl eines Cloud Providers

Wie sicher ist Cloud Computing? Diese Frage stellen sich viele Unternehmen, die Anwendungen und Daten in die Wolke auslagern wollen. Dabei sind sich vier von fünf Firmen laut Nationaler Initiative für Informations- und Internet-Sicherheit e.V.(Link öffnet in einem neuen Fenster) unsicher, ob ihre Daten in der Cloud verlässlich vor unberechtigtem Zugriff geschützt sind. Vor diesem Hintergrund hat Fabasoft, ein führender europäischer Anbieter von Cloud-Lösungen für sichere digitale Dokumentenlenkung, vier Tipps zusammengestellt. Folgende Aspekte sollten Unternehmen bei der Auswahl ihres Cloud Providers besonders beachten:

1. EU-Rechenzentren sind die erste Wahl
So mancher Cloud-Dienstleister nutzt dieses Marktsegment nur, um mit billigen, unsicheren oder intransparenten Diensten und Geräten ein Stück vom großen Umsatzkuchen abzubekommen. Ratsam ist es daher, bereits im Auswahlprozess darauf zu achten, dass der präferierte Provider eindeutig definierte und national rechtskonforme Vereinbarungen für Daten-, Zugriffs- und Rechtssicherheit sowie zertifizierte Qualitätsstandards vorzuweisen hat. Zudem sollten Unternehmen hinterfragen: Wo befinden sich die Rechenzentren des Cloud-Anbieters? Betreibt der Cloud-Anbieter seine eigenen Rechenzentren oder bedient er sich anderer Plattformen und wird damit die eigentliche Datenhaltung verschleiert? Ein Cloud-Anbieter mit einem Rechenzentrum in der EU ist die sicherste Wahl, denn er muss sich an strikte EU-Gesetze wie die Datenschutzrichtlinie (Richtlinie 95/46/EG) halten, die ab Mai 2018 mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) noch strenger wird. Unternehmen, die aktuell noch auf eine andere Lösung setzen, riskieren daher, sich ab diesem Zeitpunkt einen kurzfristig eine Alternative suchen zu müssen. Ein EU-Cloud-Provider bietet somit hohe Standards in Sachen Rechtssicherheit und die notwendige Transparenz, wo Daten liegen sowie was mit ihnen passiert.

2. Native Cloud-Lösungen sind sicherer und hochwertiger
Mit größter Vorsicht sollten Firmen Trittbrettfahrern begegnen, die mit möglichst wenig Aufwand und ohne fundierte Expertise vom Digitalisierungs-Hype profitieren möchten. Es gibt so manche, die ihre Software lediglich 'cloudifiziert', sie also von einer On-Premise-Lösung in eine cloud-basierte Lösung umgewandelt haben. Hierbei bleiben oft die Skalierbarkeit, aber vor allem auch die Sicherheit der Lösung auf der Strecke, da ein Cloud-Service ganz andere Anforderungen erfüllen muss als eine On-Premise-Installation. Auf Daten und Dokumente in einer Cloud haben mehr Benutzer und Organisationen Zugriff. Damit kommen einer gesicherten Authentifizierung, der Verschlüsselung der Daten und der Dokumentation bzw. der Nachvollziehbarkeit der Zugriffe viel mehr Bedeutung zu. Eine native Cloud-Lösung ist in der Regel auf diesen Grundsäulen aufgebaut. Somit lässt sich eine höhere Qualität in Bezug auf Sicherheit und Compliance erreichen sowie ein höherer Nutzen erzielen, da es weniger technische Hürden gibt, als bei einer cloudifizierten Lösung in der Regel vorhanden sind.

3. Einen unabhängigen Provider wählen
Benutzer und Unternehmen können sich zeitlich, finanziell und aufgrund fehlender Erfahrung oft nicht kontinuierlich um umfassende Sicherheit bei der Kollaboration mit externen Unternehmen kümmern. Daher ist die Wahl eines verlässlichen und fachkundigen Cloud Services-Anbieters umso wichtiger. Unabhängigkeit spielt hierbei eine zentrale Rolle. Die höchsten An-sprüche an Datensicherheit, Datenschutz und Ausfallsicherheit genügen nicht, wenn die Be-reitstellung dieser Leistung von Drittfirmen abhängt. Denn so gehen Firmen eine vertragliche Bindung mit einer Cloud-Lösung ein, die im schlimmsten Fall Reklamationen hinsichtlich der Verfügbarkeit des Services und rechtlich nicht klar definierte Verantwortlichkeiten erzeugt. Cloud-Anbieter, die Hardware, Software, Softwareentwicklung und Support aus einer Hand bieten und somit Unabhängigkeit garantieren, sind die weitaus bessere und letztendlich lohnenswertere Alternative.

4. Auf anerkannte Zertifikate und Qualitätssiegel setzen
Qualität und Verlässlichkeit sind für Cloud-Neulinge oft schwer zu beurteilen. Deshalb sind Zertifizierungen von Institutionen wie der EuroCloud oder dem TÜV hilfreich. Sie geben Aufschluss darüber, wie sicher ein Cloud-Provider agiert. Diese Zertifizierung ist für Cloud-Nutzer wie eine Versicherungspolizze gegen Datenmissbrauch. Beim Star Audit der EuroCloud(Link öffnet in einem neuen Fenster) verrät die Anzahl der Sterne - vergleichbar mit der Hotel-Klassifizierung - wie gut und sicher ein Cloud-Service ist. Eine weitere Zertifizierung, die als Gradmesser für Qualität und Sicherheit dient, ist das 'Certified Cloud Service(Link öffnet in einem neuen Fenster) ' des TÜV Rheinland, welches Cloud-Services hinsichtlich ihrer Cloud Readiness in Bereichen wie Sicherheit, Interoperabilität, Compliance sowie Datenschutz auditiert und sogar tatsächlich in Form von Penetrations-Tests überprüft. Vorgaben und Zertifizierungen wie diese tragen dazu bei, dass mit ihnen ausgezeichnete europäische Cloud-Lösungen höchste Standards in Sachen Sicherheit und Datenschutz aufweisen. Vorsicht ist jedoch bei sogenannten Gütesiegeln geboten. Diese werden mittlerweile von un-zähligen Stellen ausgegeben - oftmals ohne eigentliches Audit, sondern lediglich auf Basis einer Selbstauskunft des Cloud-Betreibers. Ein positives Beispiel für ein relevantes und professionelles Gütesiegel ist 'Trusted Cloud', das unter der Schirmherrschaft des Bundesministeriums für Wirtschaft auf Basis von internationalen Standard-Zertifizierungen wie ISO 20000, ISO 27001, ISO 27018, ISAE 3402 und dem Star Audit vergeben wird.

Andreas Dangl, Business Unit Executive Cloud Services bei Fabasoft, resümiert: 'Geht es um Cloud Computing, machen sich viele Unternehmen noch immer Gedanken, wie gut ihre geschäftlichen Assets abgesichert sind. Cloud-Sicherheit beinhaltet dabei weit mehr als nur Datenschutz oder Ausfallsicherheit. Es gilt, einen wirklich verlässlichen Provider zu finden, und auch Aspekte wie Compliance, Verschlüsselung, Zugriffsicherheit und die Unversehrtheit wichtigen Firmenwissens müssen beachtet werden.' Mit der Fabasoft Cloud digitalisieren Unternehmen die Dokumentenlenkung, verwalten interne und externe Geschäftsprozesse und machen so das Wissen ihrer Mitarbeiter und in ihren Dokumenten kontrolliert im Haus und für externe Partner verfügbar. Dabei wird sichergestellt, dass Firmen-Know-how bestmöglich und jederzeit sicher im Unternehmen und auf mobilen Geräten abgerufen, geteilt und genutzt werden kann. Die Fabasoft Cloud lässt sich ohne Programmieraufwand schnell einrichten, einfach in die bestehende IT-Infrastruktur integrieren und fügt sich nahtlos in die täglichen Arbeitsroutinen ein.