Laut der ISG Provider Lens Public Cloud nutzen immer mehr deutsche Unternehmen nicht nur Infrastructure-as-a-Service (IaaS)-Angebote in der Public Cloud. Sie betreiben auch ihre Kundenmanagementlösungen und Kernsysteme wie Enterprise Resource Planning (ERP) dort. Ausgaben für IaaS und Software-as-a-Service (SaaS) seien im zweiten Quartal 2019 im Vergleich zum Vorjahr um 25 Prozent gestiegen. Deutsche Unternehmen würden vermehrt auf eine Multi-Cloud-Strategie setzen, wobei der Trend dahin gehe, zwei bis drei Public-Cloud-Provider einzusetzen. Dazu zählen auch Hyperscaler wie AWS, Microsoft, Google oder Alibaba.
Digitalisierungsdruck treibt Public-Cloud-Einsatz
Public-Cloud-Lösungen sind mittlerweile selbst für die Finanzbranche interessant, die bisher aus Datenschutz-, Compliance- und regulatorischen Gründen weitgehend darauf verzichtet haben. Viele Hyperscaler-Services wie beispielsweise Microsoft Azure erfüllen mittlerweile die Anforderungen der Regulierungsbehörden. Das senkt die Hemmschwelle von Banken und Versicherungen diese Services zu nutzen. Die anfängliche Skepsis scheint gebrochen. Ein Grund ist der zunehmende Kosten- und Digitalisierungsdruck.
Um die digitale Transformation vorantreiben zu können, kommen die Unternehmen nicht mehr an Cloud-Lösungen vorbei. Im Cloud-Monitor des Digitalverbands Bitkom (PDF) gab die Mehrheit (57 Prozent) der befragten Unternehmen an, Cloud Computing würde einen großen bis sehr großen Beitrag als Motor der Digitalisierung leisten.
Hinsichtlich des Vertrauens in Cloud-Lösungen und ihre Anbieter ergibt sich ein eher durchmischtes Bild. Zwei Drittel der Befragten, die keine Public Cloud nutzen, haben Angst vor möglichen Datenverlusten. Die Hälfte hat Bedenken bezüglich rechtlicher und regulatorischer Bestimmungen sowie einer unklaren Rechtslage. Andererseits sagen ein Drittel der befragten Public-Cloud-Nutzer, dass sie kritische Business-Informationen in der Public Cloud speichern. Noch mehr verarbeiten dort personenbezogene Daten. Weitgehend Einigkeit herrscht in der Einschätzung, dass Konformität mit der Datenschutz-Grundverordnung (DSGVO) bei Cloud-Lösungen sowie transparente Sicherheitsarchitekturen und -kontrollen unverzichtbar sind.
Cloud Computing bedeutet für viele Unternehmen demnach ein Spagat: Einerseits sprechen betriebswirtschaftliche und technische Gründe immer mehr für die Public Cloud. Andererseits sind und bleiben die rechtlichen Rahmenbedingungen unklar. So sieht Ulrich Kelber, Bundesbeauftragter für Datenschutz, rechtliche Probleme, wenn die Cloud eines US-Anbieters genutzt werde. Die Bundespolizei zum Beispiel speichert Einsatzdaten auf AWS-Servern, was Kelber für sehr bedenklich hält. In einem Interview mit der Neuen Osnabrücker Zeitung sagt der Politiker, die Daten von Bundesbehörden hätten in der Cloud eines US-Unternehmens nichts zu suchen. Ein Zugriff von US-Behörden auf die Daten könne seiner Einschätzung nach nicht ausgeschlossen werden.
Partnerschaften zwischen Hyperscalern und Unternehmen
Trotz solcher Bedenken steigen die Public-Cloud-Umsätze der Hyperscaler weiter an. Deutsche Großunternehmen scheuen sich mittlerweile nicht davor, Partnerschaften mit den Public-Cloud-Providern aus den USA einzugehen. Erst hat Volkswagen Ende März 2019 eine AWS-Partnerschaft für den Aufbau einer Industrial Cloud bekanntgegeben. Volkswagen will in der Cloud die Maschinen- und Anlagendaten der weltweit verteilten VW-Fabriken zusammenführen und analysieren. Auch die 1.500 Lieferanten und Partnerfirmen sollen ihre Daten in die Cloud einfließen lassen. Wenige Tage später gaben BMW und Microsoft eine ähnliche Zusammenarbeit bekannt.
Aus sicherheitstechnischer Sicht spricht wenig gegen die Hyperscaler. AWS, Microsoft oder Google schützen ihre Serverfarmen und die Kundendaten mit vergleichbarem Aufwand wie viele der europäischen und deutschen Cloud-Anbieter. Es gibt Security-Dashboards sowie an den Meldepflichten (BSI, EZB) und marktüblichen Rahmenwerken (beispielsweise ISO 27000 / ISMS) orientierte Auswertungen für Kunden. Da die Anbieter in diesen Rechenzentren auch eigene Daten verarbeiten, können sie sich allein aus Eigenschutz keine Ausfälle erlauben.
Den eigentlichen Unterschied machen der Datenschutz und branchenspezifische Vorgaben. Zudem befürchtet die Politik, dass es bei den Public Cloud-Anbietern ähnlich wie bei den marktdominierenden Internetfirmen Google, Amazon, Facebook und Apple eine Abhängigkeit auf dem Public-Cloud-Markt geben wird. Wären insbesondere geschäftskritische Daten und IT-Systeme komplett in der Hand der Hyperscaler, würde dies ein Risiko für die Wirtschaft in Europa bedeuten, da immer mehr Geschäftsstrategien auf Daten basieren.
Exit-Strategie als Teil des Cloud-Managements
Sollen Daten nach Übersee verlagert werden, gibt es bereits heute einige kritische Faktoren zu beachten. Wichtige Aspekte sind beispielsweise die Datenkontrolle, die Garantie einer physischen Datenlokation sowie das Risiko eines möglichen Datenabflusses. Aber was passiert, wenn Europa die Marktmacht von Cloud-Hyperscalern aus den USA oder zunehmend auch aus Asien eingrenzen möchte, seine Regularien und Compliance-Vorgaben strikter auslegt und die Speicherung besonders schützenswerter Daten in Übersee einschränkt?
Für diesen Fall brauchen Unternehmen eine Exit-Strategie, um ihre Daten unkompliziert und vollständig wieder zurückholen zu können. Ein Weg dorthin ist der Aufbau einer (Multi-) Cloud-Management-Architektur, die es erlaubt, virtuelle Maschinen und auf ihnen gespeicherte Daten auf Knopfdruck von einem Cloud-Anbieter zum nächsten zu transferieren. Es darf kein umfangreiches, langwieriges Migrationsprojekt daraus entstehen. In diesem Zusammenhang verlangt der Datenschutz auch, diese Daten in Übersee hinreichend zu löschen, was ebenfalls durch die Exit-Strategie garantiert werden muss.
So lange sich die genutzten Cloud-Dienste auf IaaS-Lösungen beschränken, gestaltet sich eine Exit-Strategie aus der Public Cloud noch weitgehend einfach. Durch den hohen Standardisierungsgrad auf dieser Serviceebene muss nur wenig angepasst werden. Daten lassen sich in der Regel einfach migrieren und nahtlos weiterverarbeiten.
Schwieriger wird es bei SaaS- und Plattform-as-a-Service (PaaS)-Produkten. Darunter fallen beispielsweise CRM- oder ERP-Dienste. Eine Exit-Strategie fällt für diese Systeme in der Regel ungleich komplexer aus. Migrationsprojekte von ERP-Systemen zählen zu den komplexesten IT-Projekten überhaupt.
Cloud Computing in regulierten Branchen
Insbesondere für Banken als kritische Infrastrukturen (KRITIS) bringt Cloud Computing Verpflichtungen mit sich, sobald Cloud-Provider banktypische Dienstleistungen übernehmen. Institutionen wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) haben daher Regeln erstellt, um den Rahmen für Cloud Computing in der Branche zu präzisieren.
Gemeinsam mit der Deutschen Bundesbank hat die BaFin zum Beispiel im November 2018 eine "Orientierungshilfe zu Auslagerungen an Cloud-Anbieter" veröffentlicht. Sie enthält keine verpflichtenden neuen Regularien, zeigt aber auf, was Banken bei der Entscheidung für Cloud-Angebote beachten sollten. Die BaFin rät Banken, "Überlegungen zur Nutzung von Cloud-Diensten in seiner IT-Strategie abzubilden.
Daneben sollte ein beaufsichtigtes Unternehmen einen Prozess entwickeln und dokumentieren, der alle für die Auslagerung an den Cloud-Anbieter relevanten Schritte von der Strategie über die Migration in die Cloud bis hin zur Exit-Strategie abdeckt. Es ist wichtig, dass das beaufsichtigte Unternehmen zuerst alle relevanten internen Prozesse dahingehend überprüft, ob diese für 'die Cloud' bereit sind, bevor es eine solche Auslagerung vornimmt."
Die EZB weist in der aktuellen Richtlinie zu ICT and Security Risk Management vom 28. November 2019 darauf hin, dass neue Technologien wie die Cloud die Trennung zwischen "Business" und "IT" auflösen, insbesondere bei FinTechs. Da jedoch die aktuellen Vorgaben für die regulierten Unternehmen dies noch nicht hinreichend abbilden würden, sollten die Richtlinien standardisiert werden. Es besteht also aus Sicht der Aufseher Nachholbedarf bei den Unternehmen.
Eine Risikoanalyse sollte unter anderem die Kritikalität eines Prozesses und eine Bewertung der Eignung des Cloud-Anbieters berücksichtigen. Dies umfasst zum einen Nachweise und Zertifikate wie ISO/IEC 2700X oder dem C 5-Anforderungskatalog des Bundesamtes für Sicherheit in der Informationstechnik (PDF). Zum anderen sollten auch die Risiken bewertet werden, die mit Aufsichtsbeschränkungen oder anwendbaren Gesetzen in den Ländern einhergehen, in denen die Cloud-Services erbracht würden. Das schließt Zugriffsmöglichkeiten auf Daten durch andere Jurisdiktionen mit ein.
Notfallplan und Gaia-X
Was in für KRITIS-relevante Branchen gilt, sollte im Grundsatz auch in weniger regulierte Industrien beachtet werden. Daher gilt es, beim Aufbau einer Cloud-Strategie zu klären, welche Daten und Lösungen bei welchem Cloud-Anbieter landen. Hierzu ist neben der (Multi-) Cloud-Architektur und Exit-Strategie auch eine (Cloud-) Sourcing-Strategie erforderlich.
Der Cloud-Monitor 2019 von Bitkom (PDF) deutet jedoch an, dass die Wirtschaft in Deutschland auf diesem Gebiet noch nicht weit gekommen ist. 43 Prozent der Unternehmen gaben an, dass sie 2018 Cloud-Ausfälle wegen technischen Problemen beim Cloud-Provider hatten. Dennoch hat weniger als ein Drittel einen Notfallplan für solche Komplikationen. Kein einziges Unternehmen berücksichtigt im Rahmen einer Cloud-Strategie eine parallele, frei skalierbare Notinfrastruktur, um Ausfälle zu kompensieren.
Das Abhängigkeitsrisiko haben die Europäer erkannt und versuchen, beispielsweise mit eigenen Public-Cloud-Angeboten wie dem Gaia-X-Projekt gegenzusteuern. Aus rechtlicher Sicht ergibt dies Sinn, da für eine europäische Cloud auch europäisches Datenrecht gelten wird.
Aber auch aus handelsrechtlicher Sicht spricht einiges für Gaia-X. Angesichts der aktuell höchst unsicheren, teilweise willkürlich wirkenden, weltweiten Handelspolitik bedeutet Gaia-X Stabilität für die Unternehmen, die ihre Daten in der Public Cloud vorhalten und verarbeiten. So soll Gaia-X laut Bundeswirtschaftsministerium sowohl die digitale Souveränität der Nutzer von Cloud-Dienstleistungen als auch die Skalierungsfähigkeit und Wettbewerbsposition europäischer Cloud-Anbieter stärken. (jd)