Moderne IT-Architekturen ohne den Einsatz von Cloud-Konzepten sind heutzutage kaum mehr denkbar – doch wie passt die Forderung nach ausreichendem Datenschutz in diesen Kontext? Im Interview mit Midrange Mail (MM) bezieht der Geschäftsfeldleiter Security Solutions der PROFI Engineering Systems AG, Tobias Birk, dazu Stellung.
MM: Warum sollten kleine und mittlere Unternehmen auf Cloud-basierte IT-Konzepte migrieren?
Birk: Die Konzeptionierung von IT-Infrastrukturen und die Strukturen selbst haben eine Komplexität erreicht, die nur schwer mit den Ressourcen einer klassischen IT-Abteilung von kleinen bzw. mittleren Unternehmen zu bewältigen sind. Die Vorteile von Cloud-basierten Ansätzen liegen in den definierten Servicemodellen, wie z. B. Infrastructure as a Service (IaaS), Plattform as a Service (PaaS), Software as a Service (SaaS). Diese Modelle ermöglichen es kleineren bzw. mittleren Unternehmen, den KMUs, bewusst eine Entscheidung treffen zu können, wie sie ihre vorhandenen IT-Ressourcen einsetzen wollen. Ganz konkret kann man sich für die Entscheidung eines IaaS basierten Konzeptes, sämtlichen Fragestellungen um die Planung von Rechenzentrumsinfrastruktur wie Klimatisierung, Stromzuführung etc. entheben und somit die IT-Ressourcen gezielt z. B. auf das Thema Container-Technologie und Applikationsentwicklung fokussieren. Unabhängig davon eröffnet sich für die Unternehmen die Möglichkeit, bereits in der jeweiligen Cloud-Umgebung vorhandene Services in ihre Umgebung zu integrieren wie etwa die Nutzung einer bestimmten Datenbanktechnologie.
MM: Welche Herausforderungen in Bezug auf die Datensicherheit entstehen dadurch?
Birk: Grundsätzlich sollte vor bzw. zu Beginn eines jeden Projektes unabhängig davon, ob mit der Zielsetzung on-premise oder in der Cloud agiert werden soll, eine Analyse- und Planungsphase für das Thema Datensicherheit vorgeschaltet werden. Hier müssen dann Fragestellungen z. B. des Schutzbedarfs der zu verarbeitenden Daten etc. festgestellt werden. Auf Basis dieser Erkenntnisse kann dann entschieden werden, ob und gegebenenfalls welche Maßnahmen grundsätzlich erforderlich sind, um dem Schutzbedarf der Daten Rechnung zu tragen.
MM: Welche Technologien müssen zum Einsatz kommen, damit die teilweise bzw. gesamte IT-Auslagerung in die Cloud den einschlägigen Vorgaben zum Datenschutz genügt?
Birk: Eine pauschale Beantwortung dieser Frage ist nicht seriös möglich. Die zu ergreifenden Maßnahmen hängen von den zu verarbeitenden Daten ab. Hier gibt uns die DSGVO explizit zwei grundlegende Bereiche vor: Daten mit Personenbezug und besonders schützenswerte Daten mit Personenbezug. Das impliziert somit den dritten Bereich: die Daten ohne Personenbezug. Dies sind die Perspektiven des Datenschutzes, dies ist der Mindestansatz, der geklärt sein muss, um adäquate technische und organisatorische Maßnahmen – die TOMs – zu definieren und umzusetzen.
MM: Welche Rolle spielt dabei die Auswahl eines Cloud-Providers und welche Kriterien sollten KMUs dabei dringend berücksichtigen?
Birk: Die Auswahl des Cloud-Providers ist vergleichbar zu der heutigen Fragestellung nach einem Rechenzentrumsbetreiber, einem zentralen IT-Dienstleister o.ä. – hier sind Themen wie Standort, Zertifizierungen, Handhabung wie etwa das Informations-Risikomanagement und monetäre Aspekte relevant. Allerdings sollte man sich vorab auch darüber klar werden, welches Servicemodell (IaaS, PaaS, SaaS) die vorhandenen Anforderungen bestmöglich abdeckt.
MM: Wie lässt sich die Migration von Daten in die Cloud sicher umsetzen?
Birk: Die Frage lässt sich am besten mit der Aussage beantworten: Planung, Planung und noch einmal Planung. Einige relevante Eckpunkte, die auf alle Fälle Beachtung finden sollten, sind sicherlich die Themen Netzwerk-Kapazitäten, Backup-Konfiguration, eventuell Planung von Downtimes aber ganz essenziell ist das Thema „Vorarbeiten“ im Sinne von „housekeeping“ – jeder der schon einmal umgezogen ist, weiß dass es sinnhaft ist, vor dem Umzug „Altlasten“ zu entsorgen, um diese nicht mit umzuziehen. Dies gilt selbstverständlich auch für den Umzug von Daten und Systemen.
MM: Wie können KMUs sicherstellen, dass bei dem Konzept „Hybrid Cloud“ die Umgebung nahtlos funktioniert?
Birk: Die Fragestellung nach „nahtlos“ hängt stark vom gewählten Nutzungsszenario ab. Wurde beispielsweise die Entscheidung getroffen, dass in der Cloud „lediglich“ die Zweitsysteme bereitgestellt werden, die bei einem Ausfall der on-premise Systeme übernehmen sollten oder existiert tatsächlich ein Produktionsbetrieb, bei dem beide „Welten“ miteinander agieren müssen, um produktive Workloads abzuarbeiten. Grundsätzlich sollten die Konzepte so ausgestaltet sein, dass die vorhandenen Workloads sinnvoll zusammengefasst werden können. Es sollten zum Beispiel die Systeme, die für die Erstellung von Abrechnungen verantwortlich sind und stark miteinander agieren oder kommunizieren, nicht aufgeteilt werden über on premise und der Cloud.
Rainer Huttenloher