Mit der Cloud wird alles besser – eine zugegebenermaßen schöne Vorstellung! IT-Laien wird gerne verkauft, dass die Cloud die Lösung all ihrer IT-Probleme darstellt. Die Realität sieht jedoch anders aus: IT-Betreiber, die ihre Verfahren in die Cloud stellen wollen, schlagen manchmal hart auf dem Boden der Tatsachen auf. Nämlich dann, wenn sie plötzlich feststellen, dass ihre Software dafür gar nicht geeignet ist – weil sie beispielsweise keine horizontale Skalierung unterstützt, die es für eine flexible Lastverteilung auf die eingebundenen Container-Instanzen braucht.
Auch in Bezug auf den Datenschutz ist die Cloud nicht immer der Königsweg. Bei einschlägigen Hyperscalern wie Microsoft Azure, AWS und Google Cloud droht immer ein Damoklesschwert: der Cloud Act von 2018, der es US-Behörden ermöglicht, Daten bei in den Vereinigten Staaten angesiedelten IT-Dienstleistern auszuleiten – und zwar selbst dann, wenn diese Daten gar nicht in US-amerikanischen Rechenzentren gespeichert werden. Damit verbietet sich die Nutzung dieser Cloud- Dienste für alle, die auf ein hohes Datenschutzniveau angewiesen sind, von selbst. Dasselbe gilt selbstverständlich auch für Cloud-Services von chinesischen Anbietern (die mit dem Thema Data-Leaking und Spionage nicht so offensiv umgehen wie die USA). Die einzige Lösung für datensensible Verfahren ist darum, auf europäische Cloud-Anbieter zu setzen.
Bei der Nutzung von Cloud-Services spielen zudem Aspekte der IT-Sicherheit eine Rolle. Vor allem ist hier zu bedenken, dass die Verantwortung für die IT-Sicherheit je nach gewähltem Servicemodell nicht ausschließlich beim Service-Provider liegt. Bei Software as a Service (SaaS) hat dieser den höchsten Grad der Verantwortung, da der Endanwender quasi keinen Einfluss auf Versionen, Einstellungen und weitere sicherheitsrelevante Parameter hat. Bei Platform as a Service (PaaS) verantwortet der Provider nur noch die zur Verfügung gestellten Server, Betriebssysteme und Netzkomponenten; für die IT-Sicherheit der darauf laufenden Anwendungen muss der Kunde selbst sorgen. Am wenigsten Verantwortung trägt der Provider bei Infrastructure as a Service (IaaS). Hier muss er lediglich die Sicherheit der Netzkomponenten und Perimeter gewährleisten; die Sicherheit der anderen Komponenten – Host-Plattformen, Betriebssysteme, Web- und Applikationsserver sowie deren Applikationen – liegt allein in den Händen des Kunden.
Generell halten sich die Cloud-Anbieter in Bezug auf ihre eigene Verantwortung bedeckt. Der Security Test Service der HZD macht immer wieder die Erfahrung, dass die Ergebnisse von angeblich durch den Service- Provider durchgeführten Penetrationstests nicht herausgegeben werden. Wenn der Nachweis zur Dokumentation von Qualitätssicherungs- und Härtungsmaßnahmen beim Abschluss des Vertrags mit dem Provider nicht explizit gefordert wird, sieht dieser sich in der Regel nicht in der Pflicht, entsprechende Belege zu liefern.
Seien Sie also kritisch, wenn Ihnen ein Anbieter aus dem kommerziellen Umfeld die Migration eines Verfahrens in seine Cloud als einzig gangbare Lösung präsentiert. Hinterfragen Sie, ob die vorgeschlagene Cloud-Lösung auch wirklich funktioniert oder ob eine On-premise-Variante nicht doch der bessere Weg ist. Damit Sie beim geplanten Go-live-Termin nicht aus allen Wolken fallen.