Datenklau und Haftung: Vorsicht in der Public Cloud!
Die Cloud ist bislang eine rechtliche Grauzone. Denn sie offenbart keine Transparenz darüber, wo Rechner stehen und Daten lagern. Um die Kosten niedrig zu halten, haben viele Cloud-Anbieter ihre Rechenzentren ins billigere Ausland verlagert. Dort gelten jedoch andere Gesetze als in Deutschland, die Rechtsprechung ist zum Beispiel möglicherweise weniger streng in Sachen Datenschutz.
Fakt ist, dass der Cloud-Provider grundsätzlich Zugang zu den Daten hat. Überall dort also, wo das Risiko des Datenmissbrauchs geringer ist als die finanziellen Vorteile für Mitarbeiter von Cloud-Providern durch Datenklau, ist auch die Verlockung dazu allzu groß.
Ein Fall mit Gesundheitsdaten amerikanischer Mitarbeiter hat dies gezeigt. Solange es noch keine weltweiten Datenschutzstandards gibt, die rechtlich verbindlich sind, sollten Firmen sensible Daten oder Produktivdaten lieber nicht der Public Cloud anvertrauen. Denn wenn es Probleme gibt, ist die Rechtsfrage nicht geklärt, und jede beteiligte Partei weist die Schuld auf die anderen.
Auch sind Haftungsfragen bei der Einschleusung von Trojanern und Viren und deren Verbreitung über die Cloud nicht eindeutig. Haftet der Cloud Provider oder die Firma? Der Imageschaden liegt in jedem Fall bei beiden. Unternehmen, die sich dennoch für die Auslagerung in die Public Cloud entscheiden, sollten genau auf die Service-Level-Agreements ihres Anbieters achten, um im Schadensfall nicht auf den entstandenen Kosten sitzen zu bleiben, sondern eine angemessene Entschädigung zu erhalten.
Neue Service-Levels für mehr Kundenzufriedenheit
Ist beispielsweise eine Anwendung in der Cloud wie ein CRM-System oder eine Website zwar abrufbar, aber mit einer für den Nutzer zu hohen Reaktionszeit, bedeutet dies einen Mangel an Servicequalität des Cloud-Dienstes und damit auch die Unzufriedenheit des Kunden. Aus diesem Grund werden Cloud-Anbieter nicht umhinkommen, neue, qualitätsorientierte Service-Level-Agreements einzugehen. Damit nähert sich die Cloud dem klassischen Outsourcing an, zwar nicht mit dem gleichen Grad der Individualisierung, aber doch zumindest die Performance von Anwendungen betreffend.
- 10 Prognosen für Cloud Computing 2013
CIOs bekommen dieses Jahr mehr Druck von Finanzchefs, die Kosten für IT aus der Wolke unter Kontrolle zu halten - und die Konkurrenz von Amazon wird stärker. - 1. Wir hören auf mit der Behauptung, dass alles in die Cloud wandert
Es wird unterschieden, was in die Wolke passt und was nicht. - 2. Cloud und Mobile werden eins
Mobile Apps sind nur dann wertvoll, wenn sie übers Internet an die Back-End-Services angebunden sind, die wahrscheinlich nicht mehr im eigenen Rechenzentrum, sondern irgendwo in der Wolke geleistet werden. - 3. Kein Stress mehr wegen Cloud-SLAs
Best Practice für Design und Konfiguration von Cloud-Applikationen sei es, Elastizität in die Anwendung selbst einzubauen anstatt sie von Seiten des Cloud-Betreibers zu erwarten. Auf diesem Weg lasse sich jedes Service Level Agreement (SLA) erreichen, unabhängig von den Basis-SLAs des Providers, so Staten. - 4. Klarheit über Kosten-Modelle
Statens Ausgangsthese: Die Cloud ist nicht per se besonders günstig, aber sie kann mit dem richtigen Nutzungsmodell höchstwahrscheinlich einen Kostenvorteil bringen. Deshalb müssten die Anwender rechnen, die wirtschaftlichen Hintergründe verstehen lernen und die Nutzung kontrollieren und optimieren. - 5. I&O schafft Freiräume für die App-Entwicklung
2013 sehen die I&O-Teams laut Forrester endlich ein, dass Entwicklung in der Public Cloud stattfindet – ob es ihnen passt oder nicht. Da sei es sinnvoll, den Dialog mit den Software-Entwicklern zu suchen, um Einfluss auf Sicherheit und Gesamtkonzept nehmen zu können. Darin liege auch die Chance, gemeinsam eine formelle Cloud-Strategie zu entwickeln, die definiert, was akzeptabel ist und was nicht. - 6. Backup und Disaster Recovery aus der Cloud
Cloud Computing und das Pay-per-Use-Preismodell ermöglichen laut Staten eine langfristige Datenspeicherung. Für die Server müsse nur bezahlt werden, wenn man testen will oder sich tatsächlich ein Ausfall ereignet. - 7. Cloud ist nicht mehr mit Massenware gleichzusetzen
Trotz hoher Standardisierung in der Wolke sei es falsch, Cloud Services mit Massenware gleichzusetzen. Bereits jetzt würden in der Cloud Dienstleistungen angeboten, die mit High-End-Hardware abgesichert seien sowie GPUs, SSDs und andere hochwertige Infrastruktur-Optionen beinhalteten. - 9. Fortgeschrittene Virtualisierung ist gut, aber keine Cloud
Staten wendet sich direkt an die I&O-Verantwortlichen: „Die optimierte und dynamische virtuelle Umwelt und die On-Demand Private Cloud haben beide ihren Platz im Rechenzentrum“, schreibt der Analyst. „Sie lösen verschiedene Probleme und entsprechen verschiedenen Anforderungen.“ Es sei ein nutzloses Unterfangen, aus dem einen das andere machen zu wollen. - 10. Die Entwickler wachen auf
Die Mehrzahl der im Unternehmen vorhandenen Sprachen, Frameworks und Development-Methoden seien auch in der Cloud einsetzbar, so Staten. Anders als gewohnt sei nicht das Codieren an sich, sondern die Service-Orientierung und die Notwendigkeit, eine eigenen Erreichbarkeit und Performance in die App-Konfiguration einzubauen.
ITIL ist bald Cloud-ready
Während sich in den letzten Jahren die Betriebs- und die Entwicklerwelt schon immer mehr angenähert haben und sich neue Modelle wie zum Beispiel die agile Entwicklung somit langsam durchsetzen konnten, hält diese Strömung nun Einzug in die Cloud. Agile Prozesse werden adaptiert und als Best Practices sowohl Standard- als auch Cloud-fähig gemacht.
Die IT Infrastructure Library (ITIL) 2011 zeigt bereits Ansätze in diese Richtung. 2013 werden sie sich weiter mit dem Ziel konkretisieren, die Vorteile agiler Prozesse als Best Practices in die ITIL aufzunehmen und auch für die Cloud als Framework zur Verfügung zu stellen. Ziel dieser Entwicklung ist vor allem, für Projekte und Prozesse in den Bereichen Change-Management und Incident-Management eine Messbarkeitsgrundlage und mehr Transparenz zu schaffen.
(Der Beitrag wurde von der CP-Schwesterpublikation Computerwoche übernommen / rb)