2012-01: In die Cloud! In die Cloud! Aber wo soll die sein?
Zu fragen, „wo“ denn die Cloud ist, ist die „Alles-in-die-Cloud“-Jünger Blasphemie. Denn das tolle an der Cloud ist ja gerade, dass sie „immer und überall“ (Erste Allgemeine Verunsicherung) ist. Dabei stimmt das nicht: Am Ende laden die virtuellen Maschinen dann doch wieder auf „Kisten“, als ganz physikalischer Hardware, und die muss ja irgendwo stehen. Und damit spielen die Sicherheitsvorkehrungen des externer Dienstleister plötzlich eine wichtige Rolle: Denn BDSG §11 verweist die Verantwortung klar an den Auftraggeber: Der hat zu prüfen, ob der Auftragnehmer ordentlich arbeitet, zuverlässig ist und den Datenschutz enthält.
Wer also mit voller Konsequenz auf die Cloud setzt, tut gut daran, seinem Anbieter auch unter dem Aspekt der Informationssicherheit auf den Zahn fühlen. Hier einige Punkte, die Sie vor Vertragsabschluss klären sollten.
Kann der Anbieter eine Vereinbarung zur Auftragsdatenverarbeitung (nach BDSG) vorlegen? In den nächsten zwei Jahren können Sie ein „Oops, haben wir noch nicht, erstellen wir aber“ so eben noch akzeptieren. Es gibt aber trotzdem Minuspunkte. Wer es in zwei Jahren nicht kann, dem sollten sie den Rücken kehren.
Hat der ISP einen Datenschutzbeauftragten (DSB)? Ein fehlender DSB ist ein hartes Ausschlusskriterium. Aber Abzüge gibt es auch für einen DSB, der nicht versteht, wozu Sie die obige Vereinbarung benötigen. Es mangelt diesem dann offensichtlich am Bewusstsein, was wichtig ist.
Wo liegen die Daten? Nicht jeder ISP hat ein eigenes Rechenzentrum. Fragen Sie deshalb auf jeden Fall nach, wo er denn seine Services hostet. Wenn ich bei einem (deutschen) SaaS-Anbieter keinen Hinweis finden, wo die Daten gehostet werden, werde ich skeptisch. Erst heute habe ich einen gesehen, der in einer Präsentation vollmundig „PCI DSS zertifizierte, hochsichere Server“ und „verschlüsselte Backups“ verspricht, sich im Kleingedruckten aber vorbehält, die Daten bei „externe[n] Hosting-Provider[n]“ zu speichern. Seien Sie neugierig, fragen Sie nach. Wer technisch versiert ist, kann auch mit Tools wie nslookup und whois einiges an Erkenntnis gewinnen.
In welchem Rechenzentrum stehen die – physikalischen – Maschinen? Verlassen Sie sich nicht auf die Versprechungen des Dienstleisters. Ein Besuch im Rechenzentrum lohnt sich. Ich habe schon AS400 in Toiletten oder Kartons, Kabelsalat und Holzböden im Rechenzentrum gesehen. Wenn solche Missstände noch nicht einmal beseitigt werden, wenn Kunden kommen, sollten Sie auf Abstand gehen. Der Grundschutzkatalog „Infrastruktur“ gibt hier wertvolle Tipps.
Kann der Anbieter eine Zertifikat nach ISO 27001 vorweisen? Grundsätzlich ist dieses Zertifikats ein gutes Zeichen. Spricht es doch dafür, dass sich der Dienstleister mit dem Thema Sicherheit auseinandergesetzt hat. Aber: Die Zertifizierung belegt zwar, dass der ISP ein Information Security Management (ISMS) hat, es ist aber damit weder gewährleistet, dass es funktioniert, noch dass alle Maßnahmen umgesetzt sind. Achten Sie auch darauf, welcher Teil des Unternehmens überhaupt zertifiziert wurde. Weitere gute Zeichen sind ein BSI-Grundschutzzertifikat und Hinweise auf Standardprozesse etwa nach ITIL.
Es gibt viele Anbieter auf dem Markt. Die erhöhte Nachfrage nach Rechenzentrumskapazität durch die Cloud hat einen Wettbewerb ausgelöst, der von den Großen wie Micorosoft, Google, 1&1 oder Amazon mit gewaltiger Marketingmacht geführt wird. Das heißt aber noch lange nicht, dass sie mit einem dieser Giganten auf der sicheren Seite sind, respektive, dass er zu Ihnen passt. Oft ist die bessere Wahl – vor allem für Mittelständler – sich einen guten, bewährten mittelständischen ISP als Partner zu suchen, der mit Ihnen auf Augenhöhe diskutiert und Ihre Bedürfnisse kennt. Prüfen Sie also, fragen Sie – aber nehmen Sie bitte, bitte nicht den Nächstbesten – auch nicht wenn er Google oder Microsoft heißt.
Wenn Sie Unterstützung bei der Auswahl, der Untersuchung oder den Gesprächen brauchen, sprechen Sie mich an :-)