Die Frage, die sich jedes Unternehmen, ob gross oder klein, irgendwann stellen muss, lautet: To be (in the cloud) or not to be? Eine Frage, die trotz Sicherheitsbedenken, Angst vor Angriffen, Kontrollverlust und Manipulation immer häufiger mit «to be» beantwortet wird. Die vielen Möglichkeiten und die unbestreitbaren Vorteile des sogenannten Cloud-Computing machen den Entscheid – auch für kleine und mittlere Betriebe – zunehmend einfacher. Dazu kommt, dass sich am Sicherheitshimmel tatsächlich viel getan hat und «die Cloud» aus luftiger, undurchsichtiger Höhe auf dem Boden des Alltäglichen gelandet ist.

Sicherheit lässt sich nicht delegieren

So selbstverständlich die Cloud geworden ist, so selbstverständlich muss Sicherheit, bestenfalls in Form einer Sicherheitsstrategie, im eigenen Unternehmen sein und bleiben. Sicherheit lässt sich nämlich nicht an die Cloud delegieren – auch wenn das manche gerne glauben.

Die von den Providern installierte Cloud-Security betrifft nämlich in erster Linie Bereiche wie Speicherung, Datenbank und globale Infrastruktur. Weil die Sicherheit der Daten und Informationen aber im ureigenen Interesse des Unternehmens liegt und zudem neue oder strengere Vorgaben und Gesetze – Stichwort: DSGVO – zusätzliche Anforderungen stellen, bleibt Sicherheit auch hier eine Unternehmensaufgabe. Wer dabei auf integrale Sicherheit setzt, ist auf dem rich­tigen Weg.

Cloud-Computing: Was es ist und welche Vorteile es bringt

Cloud-Anbieter stellen IT-Infrastrukturen oder Computing-Dienste über das Internet (Public Cloud) oder Intranet (Private Cloud) bereit, also zum Beispiel Server, Speicher, Software, Rechenleistung etc. Sie als Unternehmen nutzen diese kostenpflichtigen Dienstleistungen nur bei Bedarf.

Warum Cloud-Computing? Es ist kostengünstig, weil bedarfsgerecht (Investitionskosten sinken, kein teures lokales Datencenter, keine zusätzlichen Personalressourcen), flexibel und effizient. Unternehmen bleiben IT-mässig stets am Puls der Zeit, agieren schneller und kostenbewusster und bleiben so konkurrenzfähig.

Mit Cloud-Computing gewinnen kleine und mittlere Unternehmen mehr Zeit, um sich auf ihre Kernkompetenzen zu konzentrieren.

Unternehmenssicherheit kommt vor der Nutzung der Cloud

Einmal mehr kommen Unternehmen nicht darum herum, ihre Daten und Informationen in einem ersten Schritt zu sichten und zu klassifizieren: Welche Daten sind besonders schützenswert, welche sind unbedenklich, welche unterliegen besonderen gesetzlichen Vorschriften, die beispielsweise mit der Cloud nicht vereinbar sind? Dann müssen Sicherheitsansprüche formuliert und mit dem in Frage kommenden Cloud-Anbieter abgestimmt werden.

Ein besonderes Augenmerk verdient die (2-fach-)Authentifizierung. Und vergessen Sie nicht, dass Ihre Mitarbeitenden auch über Smartphones, Tablets und Laptops ver­fügen. Hierfür braucht es spezielle Sicherheitsmassnahmen, ohne die Sie plötzlich eine Schatten-IT im Haus haben.

Tipp: Nutzen Sie die klassifizierten Daten auch gleich für Ihre Datenschutzaufgaben!

Worauf bei der Auswahl des Cloud-Anbieters zu achten ist

Achten Sie darauf, dass der Anbieter über eine https-Webseite, Compliance-Standards und eine aktuelle Branchenzertifizierung (z. B. ISO 27001) verfügt. Seine Datenschutzerklärung sollte diesen Namen verdienen und zum Beispiel das Durchsuchen Ihrer Daten ausschliessen. Natürlich wollen Sie wissen, wo Ihre Daten gespeichert werden, welcher Vertrags- und Gerichtsstandort gilt und welche Sicherheitsvorkehrungen der Anbieter trifft. Und falls Ihr Unternehmen von der EU-Datenschutz-Grundverordnung (DSGVO) betroffen ist, sollten Sie den nachfolgenden Abschnitt lesen und einen Anbieter wählen, der für die Konformität mit der DSGVO gerüstet ist.

Tipp: Seriöse Dienstleistungen sprechen sich herum und zeichnen sich in der Regel nicht durch einen konkurrenzlos günstigen Preis aus. Achten Sie auf Qualität!

Stichwort Datenschutz

Cloud-Sicherheit ist und bleibt ein Thema und hat in den letzten Monaten durch die EU-Datenschutz-Grundverordnung eine zusätzliche Dimension erhalten. Die DSGVO sieht umfassende Dokumentations-, Organisations- und Transparenzpflichten vor und liefert damit wertvolle Stichworte, die bei der Cloud-Nutzung unbedingt berücksichtigt werden müssen: Rechtsgrundlage für die Datenübermittlung, Dokumentation der Cloud-Dienste, Angemessenheit der Datensicherheit, Datenlöschung, Datenhoheit beim Nutzer, Belastbarkeit der Cloud-Dienste, Sicherheitsmassnahmen etc. Der Vertrag, den Sie mit dem Cloud-Anbieter als Auftragsverarbeiter abschliessen, muss übrigens gemäss DSGVO schriftlich vorliegen.

Noch ein Wort zum Thema Datenverkehr und Ausland. Personenbezogene Daten dürfen im Rahmen der DSGVO innerhalb der EU übermittelt werden. Dieser freie Datenverkehr gilt auch für die Schweiz, da sie als Drittland mit einem angemessenen Schutzniveau gilt. Vorsicht ist geboten, wenn personenbezogene Daten in Länder transferiert werden sollen, die die datenschutzrechtlichen Vorgaben der Schweiz und/oder der EU nur ungenügend erfüllen und damit kein gleichwertiges Datenschutzniveau aufweisen. Dies hat zusätzliche und höhere Anforderungen zur Folge, derer Sie sich bewusst sein müssen.

Tipp: Datenschutz ist komplex und wird immer wichtiger. Laden Sie sich eine DSGVO-Checkliste aus dem Internet herunter und achten Sie bei Downloads auf aktualisierte Sicherheitseinstellungen Ihres Browsers und Ihrer Geräte.

Reto C. Zbinden, Experte für Data Protection & Cloud Security