Immer mehr Mittelständler verlagern einen Teil ihrer IT in die Cloud. Vor allem die Mischvariante aus privater und öffentlicher Cloud, der sogenannte hybride Typus, wird für Unternehmen aufgrund der Flexibilität und Leistung zunehmend interessanter.
Bei der Wahl des richtigen Cloud-Dienstleisters ist jedoch einiges zu berücksichtigen. Für die Firmen spielt vor allem ein Aspekt eine zentrale Rolle: die Sicherheit. Das ist der Trend, den die Marktforscher von IDC kürzlich aus den Antworten von 200 befragten IT-Entscheidern ermittelten. Wir zeigen Ihnen fünf Punkte, auf die es bei der Cloud-Wahl ankommt.
Analysieren: Was kommt in die Cloud?
Bevor ein Unternehmen den Schritt in die "Wolke" wagt, gilt es zu analysieren, welche Bereiche der firmeninternen IT der externe Dienstleister übernehmen soll.
Das ist meist komplexer als es zu Beginn erscheint. Zuerst sollte der Dienstleister zusammen mit dem Unternehmen eine Bestandsaufnahme der durch die von der IT abgebildeten Geschäftsprozesse und benötigten Anwendungen machen. In einem weiteren Schritt wird dann festgelegt, was genau – unter Berücksichtigung Compliance- und datenschutzrechtlicher Richtlinien – in der internen Infrastruktur bleibt und welche Applikationen in die Cloud-Einsatz transferiert werden.
Sicherstellen: Wer zahlt wen?
Microsoft Office und Adobe Creative Suite kosten mehrere hundert Euro. Das sind nur zwei prominente Beispiele, denn im Normalfall arbeiten Cloud-Anbieter mit urheberrechtlich geschützter Software.
Dieser Umstand wirft Fragen zu Urheber- und Nutzungsrechten auf. Läuft solch eine patentrechtliche Software auch auf den Kundenrechnern, ist es wichtig, diese Nutzung vertraglich genau zu regeln.
Georg Borges, Professor für IT-Recht an der Universität des Saarlandes Borges rät: "Kunden aus dem Mittelstand sollten sich von allen Ansprüchen Dritter freistellen lassen."
Beraten: Wie sicher ist das Cloud-Angebot?
Wer die IT selbst in der eigenen Firma betreibt, ist in der Regel näher dran und kann Sicherheitsaspekte besser beurteilen. Unternehmen werden schnell skeptisch, wenn ein Dienstleister die Administration für sie übernimmt. Die Provider können aber auch diese Situation für sich nutzen und zum "Trusted Advisor" werden.
Systemhäuser können ihren Kunden beispielsweise einen Kriterienkatalog erstellen, auf dessen Basis zusammen mit dem Kunden die Sicherheitsstrategien, -konzepte und -lösungen des Cloud-Providers erarbeitetn und festgehalten werden.
Eine Zusammenstellung von solchen sicherheitsrelevanten Fragen bietet zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinem Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter" an, das neben den Themen Rechenzentrumssicherheit und Verschlüsselung viele weitere Aspekte detailliert beleuchtet (--> zum Download).
Informieren: Was kommt in den Vertrag?
Einen guten Anbieter von Cloud Computing erkennt man am Kleingedruckten: "Das gilt erst recht für den Umgang mit wertvollen Daten", sagt Borges, denn: "Deutsche Cloud-Kunden, die personenbezogene Daten in der Cloud verarbeiten lassen, sind sogar verpflichtet, dazu mit dem Anbieter einen schriftlichen Vertrag abzuschließen".
In Deutschland regelt das Bundesdatenschutzgesetz die Erfassung und Verwendung von Personendaten. Immer wenn Mitarbeiter Daten in der Cloud speichern, unterliegen sie dem Datenschutz, der je nach Branche variiert. So gelten für Handelsunternehmen, die Kreditkarten-Transaktionen speichern andere Sicherheitsanforderungen an die Rechnernetze der Provider als beispielsweise im Finanzsektor oder Gesundheitswesen.
Ein seriöser Cloud-Dienstleister sollte diese branchenspezifischen Standards und Compliance-Vorgaben kennen, beachten und seine Kunden zielgruppengerecht informieren.
Vereinbaren: Wie sehen die Leistungen aus?
Nicht nur der Schutz der Daten, auch die Qualität des Cloud-Dienstes sollte vertraglich festgehalten werden. Fragen wie: "Sind die Mitarbeiter des Cloud-Dienstleisters 24/7 verfügbar?", "Wie teuer ist eine Entstörung?", "Wie schnell werde ich bei Problemen informiert und wie lange dauert es höchstens, bis diese gelöst wird?", sollten unbedingt mit dem Kunden abgestimmt werden und gehören in jeden Vertrag, so Borges. "Um Streit über die geschuldete Qualität und Güte der vereinbarten Leistungen zu vermeiden, sind ausgewogene Leistungsbeschreibungen, sogenannte "Service Level Agreements", wichtig".
Der Experte empfiehlt weiter, die Service Level Agreements (SLA) in einem Extra-Part des Cloud-Vertrages zu vereinbaren: "Dort wird dann bestimmt, welche Qualität geschuldet ist und welche Rechtsfolgen ein Verstoß nach sich zieht."
Das sind nur einige Punkte, welche es den Providern ermöglichen, sich auf dem umkämpften Cloud-Markt einen kleinen Wettbewerbsvorteil zu ergattern.