Cloud Computing: Alles nur leere Mythen?

Mythos 1: Im lokalen Netzwerk sind die Daten sicherer.

Besonders die großen Cloud-Player auf dem Markt wie Amazon, Google und Microsoft investieren so einiges in ihre IT-Sicherheit. Das liegt nicht zuletzt daran, dass die Cloud-Anbieter existenziell abhängig von der Sicherheit der bei ihnen gehosteten Daten sind. Microsoft beispielsweise besitzt mehr als 90 Compliancezertifizierungen. 50 davon gelten speziell für globale Regionen und Länder und 35 Complianceangebote sind auf die Bedürfnisse von Schlüsselbranchen angepasst. Darunter sind unter anderem DSGVO, C5, ISO 27001 und CSA STAR. Zertifikate sind sehr kostenintensiv. Den meisten Unternehmen ist daher der Erwerb von Zertifizierungen in der in Menge und Qualität, in der es große Cloud-Anbieter tun, gar nicht möglich.

Das spiegelt auch der Cloud-Monitor 2019 wider. Mehr als jeder zweite Public-Cloud-Nutzer bestätigt eine Zunahme der Datensicherheit. Das liegt mitunter auch daran, dass die Cloud-Anbieter strengen Datenschutzkontrollen und -richtlinien unterliegen und regelmäßig externen unabhängigen Prüfungen unterzogen werden. Die Teams der Anbieter sind gut geschult, haben rund um die Uhr etwaige Infrastrukturbedrohungen in Blick und reagieren darauf. Hinzu kommt, dass die Technologie, Größe und Flexibilität der Infrastruktur von großen Anbietern einzigartige Sicherheitsvorteile mit sich bringen. So sind die Rechenzentren beispielsweise mit speziell entwickelten Servern ausgestattet. Eine gesteigerte Datensicherheit resultiert weiterhin durch verteilte Speichersysteme und die Sicherstellung der Verfügbarkeit und Performance durch redundante Systeme. Dass die Daten auf den eigenen Systemen sicherer sind, ist bei genauer Betrachtung also vollkommen unbegründet.

Mythos 2: Sind die Daten in der Cloud, verliert das Unternehmen seine Datenhoheit.

Der Log-In-Effekt gleicht in den Augen vieler einem Schreckgespenst: Hat ein Unternehmen sich einmal für die Cloud entschieden, ist es auch für alle Zeit an den Anbieter gebunden. Was einige Cloud-Provider noch praktizieren, gehört bei vielen schon der Vergangenheit an. Denn bei vielen Anbietern können die Daten problemlos wieder exportiert werden. Entweder via API oder ganz einfach als Export auf die gewünschten Speichermedien. Die Kontrolle über die Daten als auch die Datenhoheit liegen damit weiterhin beim Kunden.

Eine weitere Rolle bei der Klärung des zweiten Mythos spielt die Auftrags-(daten)verarbeitung. Bevor die rechtlichen Rahmenbedingungen von DSGVO und dem BDSG reformiert wurden, war es Gang und gäbe, Datenverarbeitungen mitsamt ihren Prozessen auszulagern. Weiterhin wurden die Datenmengen auf externen Speichern verwaltet. Mit Artikel 28 DSGVO hat sich zu Gunsten der Auftraggeber einiges ins Positive gewendet.

So muss die Zusammenarbeit von Unternehmen und externem Dienstleister von nun an vertraglich abgesichert werden. Der Vertrag hält unter anderem fest, was, wie lange und in welchem Umfang gespeichert wird und welche etwaigen technischen und organisatorischen Maßnahmen garantiert werden. Mögliche Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers sind darin genauso vermerkt, wie die Verpflichtung der Mitarbeiter des Auftragnehmers zur Vertraulichkeit. Der Art. 28 DSGVO beinhaltet quasi alle Aspekte, die sich Cloud-Kunden zur Sicherheit ihrer Daten wünschen. Wird doch gegen die Bestimmungen verstoßen, droht ein Bußgeld, das sich gewaschen hat. Also: auch der zweite Mythos kann erfolgreich widerlegt werden, da die Datenhoheit während der gesamten Kooperation bei dem Kunden bleibt.

Mythos 3: Belege dürfen nicht in der Cloud gespeichert werden.

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) definieren die Anforderungen an eine revisionssichere Dokumentenarchivierung. Belege müssen also – egal ob ursprünglich in Papierform oder digital – für mindestens zehn Jahre nachvollziehbar, vollständig, richtig, zeitgerecht, ordnungsgemäß und unveränderbar aufbewahrt werden. Weiter sehen die GoBD vor, Belege, die ein Unternehmen elektronisch erhalten hat, dem Finanzamt auch auf elektronischem Wege vorzulegen. Andernfalls drohen Steuernachforderungen. Seit Jahren schon begrüßen die Finanzbehörden Belege in elektronischer Form. In einigen Bereichen wird die elektronische Ablage außerdem nicht nur empfohlen, sondern ist sogar gesetzlich vorgeschrieben. Trotzdem gibt es auch hier einige Besonderheiten, die beachtet werden müssen. So schreibt die GoBD beispielsweise vor, eingehende elektronische Handels- oder Geschäftsbriefe und Buchungsbelege in dem Format aufzubewahren, in dem sie empfangen wurden.

Viele der GoBD-Anforderungen lassen sich mit modernen Enterprise-Content-Management-Systemen erfüllen, die mehr können, als reines Archivieren. Sie ermöglichen außerdem, Geschäftsvorfälle in ihrer Entstehung und Abwicklung lückenlos zu verfolgen und Dokumentänderungen nachzuvollziehen, ohne dass die Ursprungsversion verloren geht oder verändert wird. Abhängig vom Dokumententyp, können zum Beispiel Rechnungen oder Buchungsbelege automatisiert entsprechenden Aufbewahrungszeiten zugewiesen werden, um die Aufbewahrungsfristen der AO exakt zu erfüllen. Je größer ein Cloudanbieter, desto mehr Zertifikate besitzt er, die dem Kunden eine rechtskonforme Speicherung seiner Daten garantieren. Belege dürfen also sehr wohl in der Cloud gespeichert werden. Mythos 3 widerlegt sich also von selbst.

Weitere Interessante Aspekte zum Thema erfahren Sie im Interview mit dem Unternehmensberater Dr. Ulrich Kampffmeyer

Mythos 4: Die Cloud ist teurer als eine On Premise-Lösung.

Auf den ersten Blick scheint die On Premise-Variante häufig kostengünstiger als das Cloud-Pendant. Doch der Schein trügt. Denn oftmals werden bei dem Vergleich wichtige Kostenfaktoren vergessen. Entscheidet sich ein Unternehmen für die Cloud, wird die eigene IT-Infrastruktur outgesourct. Somit fällt die Verantwortlichkeit für die Hard- und Software in die Hände des gewählten Cloudanbieters. Ab nun ist er 24/7 verantwortlich für die Cyber-Sicherheit, die Serverlandschaft, Updates, Backups und Zertifikate des Unternehmens – all das dank eines großen Pools an regelmäßig geschultem Fachpersonal, das das Treiben rund um die Uhr überwacht. Da die Cloud eine Vielzahl an positiven Eigenschaften besitzt, lässt sich seit Jahren ein deutlicher Trend in die Richtung des flauschigen Speichermediums erkennen.

Bei On Premise steht der „Do it yourself“-Charakter im Vordergrund. Unternehmen beschäftigen ihr eigenes IT-Personal mit der Betreuung der Serverlandschaften. Auch für regelmäßige Updates, Backups und der reibungslosen Funktionalität ist das Unternehmen selbst verantwortlich. Die eigene IT sorgt sich außerdem um die Aktualisierung relevanter Zertifikate und die Anschaffung aktueller Hard- und Software. Besonders hier fällt auf, dass die On Premise-Lösung alles andere als einmalige Kosten mit sich zieht. Denn sowohl Betriebssysteme, Datenbanken, Zertifikate als auch die Themen Sicherheit und Verfahrensdokumentation, sind regelmäßige und wiederkehrende Kosten. Vergessen wird natürlich auch oft, dass die eigenen IT-Spezialisten weit mehr Aufgaben haben als die reine Administration. Wird der Vergleich unter diesen Blickpunkten betrachtet, fällt schnell auf, dass auch die vierte Annahme nichts weiter als ein Mythos ist.

So viele Erzählungen es auch über das Cloud Computing gibt: Viele davon sind entweder längst überholt, falsch überliefert oder zu kurz durchdacht worden. Die ausgelagerte IT-Infrastruktur bietet nicht nur mehr Sicherheit durch entsprechende Manpower und wichtige Zertifikate, sondern entlastet außerdem das eigene Fachpersonal. Wird sich für eine Cloud entschieden, können sich die Mitarbeiter in der IT wieder den wirklich wichtigen Dingen widmen, anstatt rund um die Uhr die Sicherheit der Serverlandschaften in Blick zu haben.