Verantwortung für die eigene IT: Ab damit in die Cloud?
Quelle: © iStock.com/MangoStar_Studio Posted on von Cloud Computing

Schlagworte: ,

Verantwortung für die eigene IT: Ab damit in die Cloud?

Wenn IT-Anwendungen und -Systeme in die Cloud wandern, geht auch die Verantwortung dafür an die Cloud Provider über. Das denkt zumindest eine große Mehrheit der IT-Entscheider. Große Missverständnisse zwischen Cloud-Anbietern und -Nutzern sind deshalb vorprogrammiert.

Mehr als zwei Drittel der CIOs, nämlich 69 Prozent, sehen die Verantwortung für IT-Sicherheit alleine bei ihrem Cloud Provider. Bei Datensicherung, Datenschutz und Compliance gehen sie davon aus, dass der Anbieter diese sicherstellt. So lautet eines der Ergebnisse der aktuellen Studie „The Truth in Cloud“ des US-amerikanischen Softwareherstellers Veritas Technologies. Zudem lägen 55 Prozent der Befragten in einem weiteren Punkt falsch: Sie denken, dass Cloud Provider auch für die Anwendungsverfügbarkeit verantwortlich zeichnen.

Als Grund dieses Irrglaubens nennt der Wirtschafts- und IT-Journalist Michael Kroker in seinem IT-Blog die Multi-Cloud-Strategie, der viele Unternehmen mittlerweile immer stärker folgen. Doch wüssten viele Unternehmen offensichtlich insbesondere bei der Public Cloud nicht genau, wer für wichtige Aufgaben beim Datenmanagement am Ende verantwortlich ist: der Kunde oder der Cloud Provider.

„Cloud first“

Zugleich zeigt die Studie, wie sehr Cloud Computing mittlerweile das Thema Nummer eins in Anwenderunternehmen ist. Laut Kroker verfolgt die Mehrheit der befragten Unternehmen aktuell eine regelrechte Cloud-First-Strategie, wenn sie neue Anwendungen aufsetzen. Und nur noch ein Prozent der Firmen wolle die Cloud in den kommenden zwei Jahren überhaupt nicht einsetzen. In Deutschland würden sogar alle befragten Unternehmen ihre Zukunft in der Cloud sehen.

Wer trägt die Verantwortung?

Als zentrale Erkenntnisse der Studie fasst Kroker zusammen:

  • Vier von fünf Firmen, die Infrastruktur aus der Cloud (Infrastructure as a Service, IaaS) nutzen oder planen, sehen die Datensicherung in der Cloud in den Händen des Cloud-Service-Providers (83 Prozent).
  • Zwei Drittel der Befragten sind überzeugt, dass sie alle Verantwortung für Datensicherheit, Datenschutz und Compliance an ihren Cloud-Anbieter delegieren können (69 Prozent).
  • Mehr als die Hälfte der Unternehmen denkt, dass der Cloud-Provider für den sicheren Datentransfer zwischen dem firmeneigenen Netzwerk und der Cloud verantwortlich ist (54 Prozent).
  • Jeder Zweite ist der Meinung, dass der Cloud-Anbieter auch für Backups der Workloads in der Cloud sorgen muss (51 Prozent).
  • Ebenfalls mehr als jedes zweite Unternehmen hält den Cloud Provider für die Anwendungsverfügbarkeit verantwortlich (55 Prozent).

Grundsätzlich haftet der Auftraggeber

Wie sehr diese Einschätzungen zum Teil an der Realität vorbeigehen, zeigt beispielsweise die derzeitige Diskussion um die neue Datenschutzgrundverordnung (DSGVO) der EU. Bei ihrer Nichtbefolgung drohen Unternehmen und ihren Verantwortlichen Strafen von bis zu 20 Millionen Euro. Dabei gilt, dass der Cloud-Nutzer als Auftraggeber auch dann für den Datenschutz verantwortlich bleibt, wenn sich seine Daten fernab in einer Cloud befinden.

Dies analysierte der IT-Journalist Oliver Schonschek in einem Beitrag für die Computerwoche. Er führt aus, dass dem Cloud-Nutzer als Auftraggeber Prüfpflichten hinsichtlich des Datenschutzes und der Datensicherheit beim jeweiligen Cloud-Anbieter obliegen. Der Vertrag mit dem Cloud-Anbieter müsse eine Reihe von Vorgaben erfüllen, die in Artikel 28 (Auftragsverarbeiter) der DSGVO aufgeführt sind.

Hilfreich sei es deshalb, dass die DSGVO vorsieht, dass die „Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden kann“, um hinreichende Garantien für den Datenschutz und die Datensicherheit in der Cloud nachzuweisen. Doch eigne sich nicht jedes Cloud-Zertifikat als entsprechender Nachweis. Unternehmen müssen also (vertraglich) sicherstellen, dass die Cloud-Anbieter ihrer Wahl die Anforderungen des neuen Gesetzes erfüllen. Denn grundsätzlich haftet der Auftraggeber.

zurück zur Startseite

Kommentar

Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Twitter oder Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.

mit * gekennzeichnete Felder sind Pflichtfelder. Sie erhalten zur Freischaltung ihres Kommentars eine E-Mail. Ihre E-Mail-Adresse wird nicht veröffentlicht.