App in die Cloud – Leitfaden

Die Umstellung auf Cloud Lösungen DSGVO konform planen

Aktuell denken viele Unternehmen über die Nutzung von Cloud-Technologien nach, um den IT-Betrieb zu modernisieren und damit die Basis für die Digitalisierung der Prozesse sowie für neue digitale Innovationen zu schaffen. Die Nutzung von Cloud-Services bringt zahlreiche Vor- und Nachteile mit sich. Die wichtigsten Vorteile sind:

• Skalierung, Performance und Flexibilität der IT
• Moderne Technologien für eine digitale Zusammenarbeit
• Geringere Kosten durch Auslagerung von IT-Aufgaben

Es gibt auch mögliche negative Auswirkungen, die bei der Umstellung in die Cloud berücksichtigt werden sollten. Die häufigsten Bedenken sind:

• Verletzung der rechtlichen Vorgaben – insbesondere Datenschutz
• Abhängigkeit von einem Cloud-Anbieter
• Ausfälle der kritischen IT-Systeme bzw. der Verbindung zur Cloud

Es gilt nun die Vorteile der Cloud effizient zu nutzen und mögliche Nachteile durch Gegenmaßnahmen zu reduzieren.

Du hast Interesse, Deine IT in die Cloud zu verlegen? Dieser Leitfaden gibt Dir eine Anleitung, worauf Du bei der Planung zur Einführung einer Cloud-Lösung achten solltest und welcher Hindernisse Dich dabei erwarten.

• Wie halte ich kritische Daten unter eigener Kontrolle?
• Wie funktioniert die technische Umsetzung sicherer Cloud-Services?
• Welches Cloud-Modell ist passend für meine Anforderungen?
• Wie finde ich einen geeigneten Cloud-Anbieter?

Abschließend gibt es eine Hilfestellung für Entscheider in Unternehmen, als Handlungsempfehlung für den Weg in eine (rechts-) sichere Cloud.

1. Daten-Souveränität – DSGVO-konform realisieren

Unternehmen und Organisationen sind häufig auf dem Weg in eine digitale Abhängigkeit, wenn sie die Digitalisierung vorantreiben möchten. Denn oft führt kein Weg an den Lösungen der großer Cloud-Anbieter vorbei, deren Hauptsitz in Rechtsräumen liegt, die nicht mit der DSGVO-konform sind. Das Problem dabei: Liegen geschäftskritische Anwendungen oder persönliche Daten in diesen Clouds, wirft dies auch datenschutzrechtliche Fragen auf. Außerdem besteht das Problem der Monopolisierung und es könnte Unternehmen perspektivisch in der Wahlfreiheit einschränken. Deshalb sind Vertrauen und Innovation zwei der zentralen Werte für die Auswahl des geeigneten Cloud-Anbieters und gleichzeitig bedeutende Eckpfeiler zur Bereitstellung einer sicheren Cloud-Lösung für die rechtskonforme Datenverarbeitung. Aus diesem Grund hat das Bundesministerium für Wirtschaft und Energie (BMWi) die Initiative „GAIA-X“ ins Leben gerufen. Das Ziel dabei ist, die Abhängigkeit von amerikanischen und chinesischen IT-Anbietern und deren Cloud-Plattformen, zu reduzieren. Mittlerweile ist das Projekt so erfolgreich angelaufen, dass es von mehreren europäischen Staaten und Unternehmen weltweit unterstützt wird. GAIA-X ermöglicht Anwendern perspektivisch den Zugang zu einem breiten, relevanten und spezialisierten Produkt- und Serviceportfolio von Cloud-Anbietern und somit die Nutzung passgenauer und rechtssicherer Lösungen. Jeder Anwender entscheidet auf Basis der eigenen Datenklassifizierung selbst, wo seine Daten gespeichert werden und von wem, sowie zu welchem Zweck, sie verarbeitet werden dürfen. Unternehmen sollten deshalb darauf achten, Cloud-Anbieter in Betracht zu ziehen, die eine GAIA-X konforme Cloud-Infrastruktur bereitstellen. Neben der DSGVO-Konformität wird dadurch auch die Abhängigkeit vom Cloud-Anbieter vermieden. Es geht darum den sogenannten Vendor Lock-In (dt.: Schwierigkeit des Anbieterwechsels) zu vermeiden. Vendor Lock-In bedeutet, dass ein Kunde einen genutzten Service oder ein verwendetes Produkt nicht ohne erhöhten Aufwand durch eine gleichwertige Lösung eines anderen Anbieters austauschen kann. Das liegt meist an der Verwendung proprietärer Technologien, die inkompatibel mit denen von Wettbewerbern sind. Anders als bei den US-amerikanischen oder chinesischen Hyperscalern wie Amazon, Microsoft, Google oder Alibaba, kann ein GAIA-X-konformer Cloud-Anbieter alle Bestimmungen der DSGVO nachweisbar einhalten und dem Anwender garantieren, dass keine Daten in Drittländer abgeführt werden. Das wird für Unternehmen ein zunehmend wichtiger Aspekt, da der Europäische Gerichtshof (EuGH) nach dem „Safe Harbor“- Abkommen auch die Nachfolgeversion des transatlantischen Datenschutzschildes mit dem „Privacy-Shield“ -Urteil (Schrems II) gekippt hat.  

GAIA-X: Die technische Umsetzung

Cloud-Dienste bieten einen Mehrwert, wenn sie gemeinsame Standards für Transparenz und Interoperabilität beinhalten. GAIA-X leistet hierbei einen wertvollen Beitrag und bietet den Rahmen für Anbieter von Rechenzentren und Cloudlösungen, um sich aufeinander abzustimmen. Die Konzeption folgt dabei den Prinzipien von Security by Design und Privacy by Design, um höchste Sicherheitsanforderungen und den Schutz der Privatsphäre zu gewährleisten. Die technische Umsetzung der föderierten Services konzentriert sich auf folgende Bereiche: Die Implementierung eines sicheren und föderierten Identitätsmanagements und die Schaffung von Vertrauensmechanismen (Security and Privacy by Design).Die Entwicklung von souveränen Daten-Services, die die Identität von Quelle und Empfänger der Daten gewährleisten und die Zugriffs- und Nutzungsrechte auf die Daten sicherstellen.Die Breitstellung eines nutzerfreundlichen Zugangs zu verfügbaren Anbietern, Knoten und Diensten. Die notwendigen Informationen werden durch den föderierten Katalog bereitgestellt.Die Integration von bestehenden Standards, um die Interoperabilität und Portabilität zwischen Infrastruktur, Anwendungen und Daten sicherzustellen.Die Einführung von Compliance Regeln sowie von Zertifizierungs- und Akkreditierungsangeboten.Die Bereitstellung von Open-Source-Software und Standards, um Anbieter bei der Migration in eine sichere, föderierte und interoperable Infrastruktur zu unterstützen. Weitere föderierte Cloud-Services, die technische Anforderungen von unterschiedlichsten Anwendergruppen berücksichtigt, können identifiziert und entwickelt werden.   Kurz: Eine GAIA-X Konformität schafft durch die Vernetzung beteiligter Cloud-Anbieter eine offene, standardisierte Plattform mit dokumentierten Betriebsprozessen, um so eine souveräne, föderierte und interoperable Cloud-Infrastruktur bereitzustellen.  

2. Das passende Cloud-Modell finden

Bei der Nutzung von eigenen Servern (OnPremise) besteht der höchste Verwaltungsaufwand. Aus diesem Grund gibt es Cloud-Modelle, mit der Unternehmen die Verantwortung für Ihre IT auslagern können. Bei eigenen Servern und Speichersystemen in einem externen Rechenzentrum (CoLocation) müssen sich die Unternehmen nicht mehr um die passende räumliche Umgebung, sondern nur noch um die IT-Belange selbst kümmern, während bei Infrastructure as a Service (IaaS) virtuelle Server angemietet und damit nur die Daten und Applikationen selbst verwaltet werden müssen. Bei Platform as a Service (PaaS) kümmern sich die Unternehmen nur noch um die Ihre Applikation (z. B. Softwareentwicklung) und bei Software as a Service (SaaS) erhalten die Anwender eine Software, die Sie direkt nutzen können.

2a Infrastructure as a Service (IaaS)

IaaS ist typischerweise der Einstieg in die Cloud. Man hat die Möglichkeit virtuelle Server anzumieten, die mit Netzwerkkomponenten sowie einer Firewall, einem Betriebssystem und Speicherlösungen ausgestattet werden können. Es liegt dann an den Unternehmen, den Server einzurichten und an eigene Bedürfnisse anzupassen. Im Vergleich zur Beschaffung von leistungsfähigen Hardware-Servern und deren Betrieb vor Ort (OnPremises) sind auch weitere Sicherheits- und Kosten- relevante Punkte bei der Auswahl geeigneter Cloud-Anbieter zu beachten:

• geo-redundante Server-Cluster
• einfache und schnelle Anpassung der Ressourcen: CPU, Speicher und Netzwerkkomponenten
• Grundsicherung: mehrfach täglich, Snapshotsicherung
• redundante Präzisions-Klimatisierung
• modernste Löschgasanlage mit Brandfrüherkennung
• redundante Stromversorgung (keine eigenen Stromkosten)
• redundante Glasfaser-Hauseinspeisung und direkte Peerings (schnellste Internetknoten in Europa)
• USV Absicherung und Notstromaggregat für IT-Verfügbarkeiten auch bei längeren (auch mehrtägigen) Stromausfällen
• ISO 27001 zertifiziertes Informations-Management und ISO 9001
• 24/7/365 Überwachung sowie Services und Support mit persönlichen Ansprechpartnern

2b Platform as a Service (PaaS)

PaaS ermöglicht es, Entwicklungszeiten deutlich zu beschleunigen und Komplexitäten im Bereich Serverbetrieb und Skalierung zu reduzieren und ist vor allem für Entwickler und Software-Unternehmen sinnvoll, die schnell und einfach neue Programme oder Apps erschaffen und veröffentlichen wollen. PaaS-Angebote bestehen unter anderem aus grundlegender Infrastruktur wie Servern, Betriebssystemen, Speicherplatz und Programmen, die mehrere Anwendungen untereinander verbinden können. Dazu kommen Ressourcen wie beispielsweise Entwicklungswerkzeuge, Programmiersprachen, Datenbankmanagement-Systeme und Container-Techniken. Will man für eine monolithische Anwendung PaaS-Lösungen nutzen, sollten diese zuerst in kleine Microservices unterteilt werden. Kritisch sollten besonders der Vendor Lock-In und die Datensicherheit betrachtet werden. Eine echte Unabhängigkeit ist nur mit einem Cloud-Service möglich, der frei von Rechten Dritter ist. Somit sollten Cloud-Anbieter auch insbesondere auf Open-Source-Technologien setzen, wie beispielsweise Kubernetes zur Verwaltung von Services, die in Container ausgeliefert werden – und die bestenfalls auch GAIA-X-kompatibel sind.

2c Software as a Service (SaaS)

SaaS wird in der Regel über das Internet bereitgestellt. So können Unternehmen von beliebigen Geräten und Standorten auf die Software zugreifen. Vergleichbar zu verbreiteten Consumer Apps (wie WhatsApp, Dropbox & Co.) sind in der Regel keine IT-Kenntnisse notwendig, wodurch das Unternehmen Aufwand spart. Nachteile sind die mangelnde Anpassbarkeit, weshalb sich SaaS insbesondere bei Standardanwendungen lohnt. Für die Nutzung und den Betrieb der Software zahlt das Unternehmen ein Nutzungsentgelt und den Unternehmen bleiben die Anschaffungs- und Betriebskosten teilweise erspart, da der Cloud-Anbieter die komplette IT-Administration und weitere Dienstleistungen wie Wartungsarbeiten und Softwareaktualisierungen übernimmt. Zu diesem Zweck wird die IT-Infrastruktur, einschließlich aller administrativen Aufgaben, ausgelagert, und das Unternehmen kann sich auf sein Kerngeschäft konzentrieren.    

3. Der geeignete Cloud-Anbieter

Im Grunde entscheiden die Anforderungen der Unternehmen über die Wahl des Cloud- Anbieters bzw. den Standort des Rechenzentrums (RZ). Es gibt allerdings einige Kriterien, die die Wahl des Standortes und des Cloud-Dienstleisters beeinflussen: Sicherheit, Konnektivität Energieeffizienz und Nachhaltigkeit, Brandschutz, Klima/Kühlung sowie nicht zuletzt der Service und somit ein zunehmend wichtiger werdender Faktor: Regionalität. Es muss verhindert werden, dass die Verantwortung für die eigene Datenverarbeitung, durch das Cloud-Computing untergraben wird.

Zu verlangen sind mindestens:

• Offene, transparente und detaillierte Informationen über die technischen, organisatorischen und rechtlichen Rahmenbedingungen einschließlich der Sicherheitskonzeption;
• Transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud-gestützten Auftragsdatenverarbeitung, insbesondere zum Ort der Datenverarbeitung;
• Die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender;
• Die Vorlage aktueller Nachweise für die Cloud-Services durch anerkannte und unabhängige Prüfungsorganisationen, die zur Gewährleistung der Informationssicherheit beitragen.

4. Auf das Kleingedruckte achten

Zur Gewährleistung einer rechtmäßigen Weitergabe personenbezogener Daten an einen Cloud-Anbieter bedarf es in erster Linie der Verwendung von Vertragsklauseln mit einer Beschreibung der Umsetzung von technischen und organisatorischen Sicherheitsmaßnahmen. Cloud-Computing kann allerdings bei den Compliance-Anforderungen unterstützen, wenn die Datenbearbeitung in einem hoch sicheren und zertifizierten Rechenzentrum (wie es Unternehmen selbst kaum wirtschaftlich betreiben können) eines Service-Providers erfolgt. Vorsicht ist geboten, wenn ein Cloud-Service-Provider mit Sitz im Ausland ins Spiel kommt. Denn sowohl für die Aufbewahrung von Dokumenten und Informationen als auch für den Austausch von personenbezogenen Daten ist es zwar zulässig, dass ein Nutzer von Cloud-Services Unternehmensdaten an seinen Service-Provider übermittelt – das gilt jedoch nur für Cloud-Service-Anbieter, die ihren Sitz in der EU oder dem Europäischen Wirtschaftraum (EWR) haben.

5. Daten schnell, sicher und regional verarbeiten

Wird ein Anbieter mit Sitz außerhalb von Deutschland beauftragt, müssen zusätzliche Anforderungen erfüllt werden, damit alle Vorgaben entsprechend der deutschen Gesetzgebung berücksichtigt sind. Das macht das Aufsetzen eines rechtssicheren Vertrages „auf Augenhöhe“ komplizierter. Der bessere Weg besteht oft darin, auf regionale Service-Provider mit eigenem Rechenzentrum und einer optimalen Anbindung an das Glasfasernetz zurückzugreifen. Dabei ist es für eine schnelle und sichere Konnektivität entscheidend, mehrere Internetknoten als direkte Peerings (z.B. die größten Peering-Points in Europa DE-CIX in Frankfurt und AMS-IX in Amsterdam) über redundante und unterschiedliche Trassen nutzen zu können. Eine kurze Distanz zwischen RZ- und Firmenstandort bietet häufig weitere Vorteile: Aufgrund der geringen Entfernung verringert sich die Latenzzeit – die Daten können also schneller und sicherer übertragen werden, da bei kürzerer Distanz das Risiko für Störungen während der Datenübertragung niedriger ist.  

6. Die Vorteile von Cloud Services nutzen – Handlungsempfehlung für Entscheider

Die wirtschaftlichen Vorteile des Cloud Computing für den IT-Betrieb sind nicht zu übersehen:

• starke Reduktion der selbst noch vorzuhaltenden Infrastruktur
• Verringerung des Bedarfs an eigenem IT-Fachpersonal
• Vermeidung von Risiken der Über- und Unterkapazitäten
• bessere Übersichtlichkeit der Kosten für die Datenverarbeitung

Das sind gute Gründe, eine Beauftragung von Cloud- Anbietern in Betracht zu ziehen. Unternehmen sollten dazu heute auf Cloud-Lösungen zurückgreifen, um den zunehmenden Bedarf an agilen, skalierbaren und kosteneffizienten IT-Lösungen zu befriedigen. In der Realität wird es jedoch nicht ein passendes Cloud-Modell geben – es wird vielmehr zu einer Vermischung der Ansätze kommen. Die Vorteile solcher Hybrid-Clouds sind zukunftssichere Investitionen für Unternehmen in Skalierbarkeit, Sicherheit und Flexibilität. Außerdem bietet ein paralleler Bezug der Cloud-Ressourcen bei mehreren Anbietern für gleiche oder unterschiedliche Anforderungen neue Möglichkeiten für den Wertbeitrag der IT. Sofern sämtliche Cloud-Dienste über eine Verwaltungsschnittstelle orchestriert werden können. Solch eine Multi Cloud ermöglicht die parallele Nutzung von Cloud-Diensten und -Plattformen mehrerer Anbieter. Sie verhält sich aus Anwendersicht wie eine einzige große Cloud, in der mehrere Cloud-Modelle wie IaaS, PaaS und SaaS integriert sein können.

So kann eine Infrastructure as a Service (IaaS) beziehungsweise CoLocation eine günstige Grundversorgung (z.B. für vorhandene monolithische Anwendungen) sicherstellen. Bestimmte Anforderungen (z.B. für eine App-Entwicklung oder Standard-Software) können bei Bedarf kostengünstiger von PaaS oder SaaS Cloud-Anbietern bereitgestellt werden.

7. Von den Stärken der Anbieter profitieren

Grundlage für eine reibungslose Multi-Cloud-Nutzung sind offene Standards (insbesondere Open Source), die eine einfache Nutzung der verschiedenen Infrastruktur-Services gewährleisten. Der Trend hin zur Multi Cloud wird insbesondere deshalb befeuert, weil die unterschiedlichen Anbieter ihre individuellen Stärken und Schwächen haben und in den geografischen Regionen unterschiedlich stark vertreten sind. Die Anwenderunternehmen sind gut beraten eine Multi-Cloud-Strategie zu verfolgen, um die Bindung an einzelne Anbieter zu vermeiden und um zu gewährleisten, dass alle Daten und Informationen bei einem vertrauensvollen Cloud-Anbieter DSGVO-konform unter eigener Kontrolle bleiben.

Also kurz: Multi Cloud Computing hat das Potenzial, digitale Innovationen bei bestmöglicher Ressourcenauslastung zu ermöglichen, damit Kosten zu senken und durch rechtssichere Datenverarbeitung bei einem GAIA-X-konformen Cloud-Anbieter einen positiven Wertbeitrag der IT zu ermöglichen.

Hier geht’s zum Artikel des Digitalradar Münsterland