Gerade im Zeichen der Corona-Pandemie verlagern mehr und mehr Unternehmen ihre Anwendungen und ihre Kommunikation in die Cloud. Sie setzen auf Vorteile wie Flexibilität und Skalierbarkeit beim Arbeiten. Wer diese digitalen Möglichkeiten für sein Unternehmen nutzen will, sollte jedoch vorher die Fallstricke sehen, um nicht zu stolpern, wie Inés Atug beschreibt. Sie ist Senior Expert in Sachen „Sicherheit von Cloud-Anwendungen“ beim Beratungsunternehmen HiSolutions, mit dem unsere Unternehmensgruppe für unsere Kunden beim Thema Cybersicherheit zusammenarbeitet.

Flexibilität

Für eine Cloud-Anwendung können heute Benutzer hinzugebucht werden und morgen kann die Benutzerzahl wieder verringert werden. Zudem ermöglicht die Cloud, zeit- und ortsunabhängig zusammenzuarbeiten. Dies kann auch in Zeiten von Schul- und Kindergartenschließungen hilfreich sein.

Zur Sicherheit gehören Zwei

Die Anbieter stellen ihre Cloud-Services als sicher vor. Diese Sicherheit weisen sie mit verschiedenen Zertifikaten und Testaten, die durch Dritte ausgestellt wurden, nach. Doch für die Sicherheit des Cloud-Services sind zwei Parteien verantwortlich: der Cloud-Serviceanbieter und der Cloud-Kunde. Die Verantwortung ist geteilt, wobei es vorkommen kann, dass die Grenzen der Verantwortlichkeiten verschwimmen. Es ist somit wichtig, die Verantwortlichkeiten möglichst vertraglich festzulegen, denn die Daten, die in der Cloud verarbeitet werden, sind nur so sicher, wie diese konfiguriert wurde. Wobei Fehlkonfigurationen im internen Netzwerk meistens nicht so schwer ins Gewicht fallen, da es weitere Sicherheitsmaßnahmen, wie zum Beispiel eine Firewall, gibt. Dies ist bei Cloud-Services anders. Wenn es hier zu einer Fehlkonfiguration kommt, dann kann es leicht passieren, dass Daten frei im Internet abrufbar sind.

Unbekanntes Terrain erfordert Training

Auch ist der Umgang mit Cloud-Services für die Anwender und Administratoren neu. So kann es vorkommen, dass ein Cloud-Service unsicher bedient wird und hierdurch Informationen an Dritte gelangen, die diese Informationen nicht erhalten sollten. Oder die Konfiguration lässt das Einladen von Gästen durch andere Gäste zu, obwohl keine Gäste zugelassen sein sollten. Dies zeigt: Ein Cloud-Service ist zwar schnell gebucht, aber es ist auch wichtig, die Anwender/-innen und Administratoren zielgruppenorientiert zu schulen.

Immer auf dem neuesten Stand

Mit den automatischen Aktualisierungen in der Cloud sind sowohl Vorteile als auch Nachteile verbunden. So sind die Cloud-Dienste zwar immer aktuell, doch auf der anderen Seite bedeutet dies: Man kann nach einer Aktualisierung nicht zurück, wenn zum Beispiel eine bisher benötigte Funktionalität nicht mehr oder nur noch verändert vorhanden ist. Darum ist es wichtig, dass sich die für den Cloud-Dienst zuständigen Personen über die Neuerungen rechtzeitig und regelmäßig informieren. Sie können die Mitarbeitenden dann über geänderte Funktionalitäten möglichst noch vor der Aktualisierungin Kenntnis setzen.

Der Einsatz von Cloud-Services verändert das Arbeiten

Diese Änderungen können auch Sicherheitsfunktionalitäten betreffen, darum sollten sich zudem der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte über die Neuerungen informieren. Der Einsatz von Cloud-Services ist mehr als der Wechsel zu einer anderen Software. Das Arbeiten mit Cloud-Services verändert die Aufgaben eines Mitarbeitenden und ändert die Prozesse.

Einstieg in die digitale Transformation

Der Einsatz von Cloud-Services kann die Digitalisierung des Unternehmens voranbringen, indem man auch den Mehrwert aus den Cloud-Services nutzt. Denn der digitale Arbeitsplatz stellt dem Anwender sehr viele Funktionen, Anwendungen und Informationen – gemeinsame Projektplanung, Bearbeitung von Aufgaben in einem Workflow – zur Verfügung, und zwar von jedem Ort, zu jeder Zeit und geräteunabhängig. Dieser Cloud-Service wurde vor allem für die Zusammenarbeit mit Kollegen erstellt. Wenn man aber nur einen kleinen Teil, beispielsweise Videotelefonie, verwendet, kann dies vergleichsweise teuer sein. Denn alle übrigen Kosten für das Gesamtpaket wie Schulungen, Sicherheitsfeatures usw. fallen trotzdem an.

Kostspielig: Unsystematischer Einkauf von Funktionalitäten

Denn auch das Lizenzmodell ist bei Cloud-Services ein anderes als bei herkömmlicher Software. Es wird das bezahlt, was verwendet wird. Wenn Anwendungen aus der Cloud bezogen werden, dann wird häufig nach Benutzeranzahl bezahlt. Wenn also eine Mitarbeiterin oder ein Mitarbeiter für ein paar Monate in Elternzeit geht, sollte der Cloud-Dienst eine Möglichkeit bieten, die Lizenz zu deaktivieren, ohne dass es zu einem Datenverlust kommt. Auch für Sicherheitseigenschaften gilt, dass diese häufig noch hinzugebucht werden müssen, damit ein notwendiges Sicherheitsniveau in der Cloud erreicht werden kann. Und so kommt es vor, dass der ursprünglich günstige Cloud-Service nach und nach genauso teuer oder teurer als die vormalige Anwendung wird.

Abhängigkeit: Kein Zugriff mehr auf migrierte Daten

Wer dann den Serviceanbieter wechseln will, aber bereits Daten in den Cloud-Service migriert hat, kann erleben, dass es zu einem Vendor Lock-in kommt. Ein Problem, das es schon vor den Cloud-Services gab: Wenn man beispielsweise eine Software genutzt hat, aus der man die eigenen Daten nur schwer oder gar nicht wieder exportieren konnte. Damit es bei der Nutzung von Cloud-Services nicht zum Vendor Lock-in kommt, sollte der Cloud-Service vorher darauf überprüft werden, ob eine Anbieterabhängigkeit wahrscheinlich ist.

Datenschutz beachten

Damit die Nutzung des Cloud-Services später nicht unfreiwillig abgebrochen werden muss, weil datenschutzrechtliche Punkte nicht bedacht wurden, sollte der Datenschutzbeauftragte bereits in den Entscheidungsprozess einbezogen werden.

Der Datenschutz muss beim Bezug von Cloud-Services beachtet werden, da zumindest die Benutzernamen zu den personenbezogenen Daten gehören. Aus Sicht des Datenschutzes handelt es sich beim Anbieter eines Cloud-Services um einen Auftragsverarbeiter und dieser muss darum die entsprechenden gesetzlich vorgeschriebenen Voraussetzungen erfüllen. Hierzu gehört beispielsweise die Umsetzung von technischen und organisatorischen Maßnahmen, um das hinreichende Datenschutzniveau nachzuweisen. Aber auch vertragliche Anforderungen, wie beispielsweise die Verwendung von EU-Standardvertragsklauseln, wenn Daten im EU-Ausland verarbeitet werden, gehören dazu.

Fazit: Ein guter Plan ist die halbe Cloud-Miete

Die genannten Vorteile und Gefahren von Cloud-Services zeigen: Ein Unternehmen sollte Cloud-Services nicht als reine Kostensenkungsinstrumente verwenden. Stattdessen ermöglichen Cloud-Services den fließenden Einstieg in die digitale Transformation des Unternehmens. Zusätzlich sollte in die Sicherheit der Cloud-Services investiert werden. Dazu gehört, das passende Lizenzmodell zu wählen, den Aufwand für die Konfiguration des Cloud-Services einzuschätzen und die Schulung der Mitarbeitenden zu bedenken.

Inés Atug
atug@hisolutions.com

Cloud Computing:

Die benötigte Software für das Unternehmen muss nicht mehr teuer eingekauft, auf allen Computern installiert und vor allem gewartet und auf dem neuesten Stand gehalten werden. Stattdessen können die Unternehmen von einem Anbieter Cloud-Anwendungen gegen einen festen Beitrag für die benötigte Zahl der Arbeitsplätze bestellen. Die Anwendung wird dann als App oder über den Browser den Mitarbeitenden über das Internet bereitgestellt.