Leitfäden

Die Umstellung auf Cloud Lösungen DSGVO konform planen

LinkedIn

Bei strategischen Überlegungen zur Umsetzung von Digitalisierungsmaßnahmen spielen Cloud-Services eine zunehmend große Rolle. Die Vorteile scheinen auf der Hand zu liegen: Eine kostengünstige, schnelle und wartungsfreie IT-Infrastruktur sowie die Möglichkeit, digitale Services leicht zu skalieren.

Doch die Umstellung auf Cloud-Computing sorgt bei vielen Unternehmen für berechtigte Bedenken. Die mögliche Verletzung von Datenschutzbestimmungen, die Verstärkung von Abhängigkeiten und die Gefahr von Ausfällen kritischer IT-Systeme sind relevante Aspekte, die bei der Planung und Umsetzung einer Cloud-Strategie berücksichtigt werden müssen.

Du hast Interesse, Deine IT in die Cloud zu verlegen? Dieser Leitfaden gibt Dir eine Anleitung, worauf Du bei der Planung zur Einführung einer Cloud-Lösung achten solltest und welcher Hindernisse Dich dabei erwarten.

1.

Daten-Souveränität DSGVO-konform realisieren

1.
Damit die Digitalisierung Deines Unternehmens oder Deiner Organisation nicht der Weg in die digitale Abhängigkeit ist, musst Du bei der Auswahl des Cloudanbieters wichtige Punkte beachten. Die bekannten Cloud-Lösungen kommen meist von Anbietern, deren Hauptsitz in Rechtsräumen liegt, die nicht mit der DSGVO konform sind.

Außerdem besteht das Problem der Monopolisierung, wenn nur wenige große Anbieter am Markt sind.

Unternehmen sollten deshalb darauf achten, Cloud-Anbieter in Betracht zu ziehen, die eine GAIA-X konforme Cloud-Infrastruktur bereitstellen. Das sorgt für:

  • DSGVO Konformität
  • Eine reduzierte Abhängigkeit von einzelnen Anbietern
  • Verringerte Wechselkosten als bei bestehenden Anbietern durch Kompatibilität der Systeme

2.

Das passende Cloud-Modell finden

2.
Nutzt Dein Unternehmen eigene Server (OnPremise) besteht ein sehr hoher Verwaltungsaufwand. Aus diesem Grund gibt es Cloud-Modelle, mit den Du die Verantwortung für die IT auslagern kannst. Die Auslagerung der Verantwortung ist in 4 Stufen zu unterteilen. Bei eigenen Servern und Speichersystemen in einem externen Rechenzentrum (CoLocation) müssen sich die Unternehmen nicht mehr um die passende räumliche Umgebung, sondern nur noch um die IT-Belange selbst kümmern. Während bei Infrastructure as a Service (IaaS) virtuelle Server angemietet und damit nur die Daten und Applikationen selbst verwaltet werden müssen. Bei Platform as a Service (PaaS) kümmern sich die Unternehmen nur noch um die eigenen Applikationen (z. B. Softwareentwicklung) und bei Software as a Service (SaaS) erhalten die Anwender eine Software, die Sie direkt nutzen können.

2a

Infrastructure as a Service

 
IaaS ist typischerweise der Einstieg in die Cloud. Du hast die Möglichkeit virtuelle Server anzumieten, die mit Netzwerkkomponenten sowie einer Firewall, einem Betriebssystem und Speicherlösungen ausgestattet werden können. Es liegt dann an Deinem Unternehmen, den Server einzurichten und an eigene Bedürfnisse anzupassen. Im Vergleich zur Beschaffung von leistungsfähigen Hardware-Servern und deren Betrieb vor Ort (OnPremises) sind auch weitere Sicherheits- und Kostenrelevante Punkte bei der Auswahl geeigneter Cloud-Anbieter zu beachten:
  • geo-redundante Server-Cluster
  • einfache und schnelle Anpassung der Ressourcen: CPU, Speicher und Netzwerkkomponenten
  • Grundsicherung: mehrfach täglich, Snapshotsicherung
  • redundante Präzisions-Klimatisierung
  • modernste Löschgasanlage mit Brandfrüherkennung
  • redundante Stromversorgung (keine eigenen Stromkosten)
  • redundante Glasfaser-Hauseinspeisung und direkte Peerings (schnellste Internetknoten in Europa)
  • USV Absicherung und Notstromaggregat für IT-Verfügbarkeiten auch bei längeren (auch mehrtägigen) Stromausfällen
  • ISO 27001 zertifiziertes Informations-Management und ISO 9001
  • 24/7/365 Überwachung sowie Services und Support mit persönlichen Ansprechpartnern

2b

Platform as a Service

 
PaaS ermöglicht es, Entwicklungszeiten deutlich zu beschleunigen und Komplexitäten im Bereich Serverbetrieb und Skalierung zu reduzieren und ist vor allem für Entwickler und Software-Unternehmen sinnvoll, die schnell und einfach neue Programme oder Apps erschaffen und veröffentlichen wollen. PaaS-Angebote bestehen unter anderem aus grundlegender Infrastruktur wie Servern, Betriebssystemen, Speicherplatz und Programmen, die mehrere Anwendungen untereinander verbinden können. Dazu kommen Ressourcen, wie beispielsweise Entwicklungswerkzeuge, Programmiersprachen, Datenbankmanagement-Systeme und Container-Techniken. Willst Du für eine monolithische Anwendung PaaS-Lösungen nutzen, sollten diese zuerst in kleine Microservices unterteilt werden. Kritisch sollten besonders die Barrieren beim Anbieterwechsel und die Datensicherheit betrachtet werden.

Eine echte Unabhängigkeit ist nur mit einem Cloud-Service möglich, der frei von Rechten Dritter ist. Somit sollten Cloud-Anbieter insbesondere auf Open-Source-Technologien setzen, wie beispielsweise Kubernetes zur Verwaltung von Services, die in Container ausgeliefert werden – und die bestenfalls auch GAIA-X-kompatibel sind.

2c

Software as a Service

 
SaaS wird in der Regel über das Internet bereitgestellt. So können Unternehmen von beliebigen Geräten und Standorten auf die Software zugreifen. Vergleichbar zu verbreiteten Consumer Apps (wie WhatsApp, Dropbox & Co.) sind in der Regel keine IT-Kenntnisse notwendig, wodurch das Unternehmen Aufwand spart. Nachteile sind die mangelnde Anpassbarkeit, weshalb sich SaaS insbesondere bei Standardanwendungen lohnt. Für die Nutzung und den Betrieb der Software zahlt das Unternehmen ein Nutzungsentgelt und den Unternehmen bleiben die Anschaffungs- und Betriebskosten teilweise erspart, da der Cloud-Anbieter die komplette IT-Administration und weitere Dienstleistungen, wie Wartungsarbeiten und übernimmt. Zu diesem Zweck wird die IT-Infrastruktur, einschließlich aller administrativen Aufgaben, ausgelagert und das Unternehmen kann sich auf sein Kerngeschäft konzentrieren.

3.

Den geeignete Cloud-Anbieter identifizieren

3.
Im Grunde entscheiden die Anforderungen Deines Unternehmens über die Wahl des Cloud-Anbieters. Es gibt allerdings einige Kriterien, die die Wahl des Standortes und des Cloud-Dienstleisters beeinflussen: Sicherheit, Konnektivität, Energieeffizienz und Nachhaltigkeit, Brandschutz, Klima/Kühlung sowie nicht zuletzt der Service und somit ein zunehmend wichtiger werdender Faktor: Regionalität.

Es muss verhindert werden, dass die Verantwortung für die eigene Datenverarbeitung durch das Cloud-Computing untergraben wird.

Zu verlangen sind mindestens:

  • Offene, transparente und detaillierte Informationen über die technischen, organisatorischen und rechtlichen Rahmenbedingungen einschließlich der Sicherheitskonzeption;
  • Transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud-gestützten Auftragsdatenverarbeitung, insbesondere zum Ort der Datenverarbeitung;
  • Die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender;
  • Die Vorlage aktueller Nachweise für die Cloud-Services durch anerkannte und unabhängige Prüfungsorganisationen, die zur Gewährleistung der Informationssicherheit beitragen.

4.

Auf das Kleingedruckte achten

4.
Zur Gewährleistung einer rechtmäßigen Weitergabe personenbezogener Daten an einen Cloud-Anbieter bedarf es in erster Linie der Verwendung von Vertragsklauseln mit einer Beschreibung der Umsetzung von technischen und organisatorischen Sicherheitsmaßnahmen. Denn sowohl für die Aufbewahrung von Dokumenten und Informationen als auch für den Austausch von personenbezogenen Daten ist es zwar zulässig, dass ein Nutzer von Cloud-Services Unternehmensdaten an seinen Service-Provider übermittelt – das gilt aber nur für Cloud-Service-Anbieter, die ihren Sitz in der EU oder dem europäischen Wirtschaftraum (EWR) haben.

5.

Daten schnell, sicher und regional verarbeiten

 
Der bessere Weg besteht oft darin, auf regionale Service-Provider mit eigenem Rechenzentrum und einer optimalen Anbindung an das Glasfasernetz zurückzugreifen. Dabei ist es für eine schnelle und sichere Konnektivität entscheidend, mehrere Internetknoten als direkte Peerings (z.B. die größten Peering-Points in Europa DE-CIX in Frankfurt und AMS-IX in Amsterdam) über redundante und unterschiedliche Trassen nutzen zu können. Eine kurze Distanz zwischen RZ- und Firmenstandort bietet häufig weitere Vorteile: Aufgrund der geringen Entfernung verringert sich die Latenzzeit – die Daten können also schneller und sicherer übertragen werden, da bei kürzerer Distanz das Risiko für Störungen während der Datenübertragung niedriger ist.

6.

Die Vorteile von Cloud Services nutzen

6.
Die wirtschaftlichen Vorteile des Cloud Computing für Deinen IT-Betrieb sind nicht zu übersehen:
  • starke Reduktion der selbst noch vorzuhaltenden Infrastruktur;
  • Verringerung des Bedarfs an eigenem IT-Fachpersonal;
  • Vermeidung von Risiken der Über- und Unterkapazitäten;
  • bessere Übersichtlichkeit der Kosten für die Datenverarbeitung.

Das sind gute Gründe eine Beauftragung von Cloud- Anbietern in Betracht zu ziehen.

In der Realität wird es in der Regel nicht das eine passende Cloud-Modell geben – es wird vielmehr zu einer Vermischung der Ansätze kommen. Ein paralleler Bezug der Cloud-Ressourcen bei mehreren Anbietern für gleiche oder unterschiedliche Anforderungen bietet neue Möglichkeiten für den Wertbeitrag der IT zu Deinem Unternehmen, sofern sämtliche Cloud-Dienste über eine Verwaltungsschnittstelle orchestriert werden können. Solch eine Multi Cloud ermöglicht die parallele Nutzung von Cloud-Diensten und Plattformen mehrerer Anbieter. Sie verhält sich aus Anwendersicht wie eine einzige große Cloud, in der mehrere Cloud-Modelle wie IaaS, PaaS und SaaS integriert sein können.

7.

Von den Stärken der Anbieter profitieren

 
Grundlage für eine reibungslose Multi-Cloud-Nutzung sind offene Standards (insbesondere Open Source), die eine einfache Nutzung der verschiedenen Infrastruktur-Services gewährleisten. Der Trend hin zur Multi Cloud wird insbesondere deshalb befeuert, weil die unterschiedlichen Anbieter ihre individuellen Stärken und Schwächen haben und in den geografischen Regionen unterschiedlich stark vertreten sind.

Du bist gut beraten eine Multi-Cloud-Strategie zu verfolgen, um die Bindung an einzelne Anbieter zu vermeiden und um zu gewährleisten, dass alle Daten und Informationen bei einem vertrauensvollen Cloud-Anbieter DSGVO-konform unter eigener Kontrolle bleiben.

Also kurz: Multi Cloud Computing hat das Potenzial, digitale Innovationen bei bestmöglicher Ressourcenauslastung zu ermöglichen, damit Kosten zu senken und durch rechtssichere Datenverarbeitung bei einem GAIA-X-konformen Cloud-Anbieter einen positiven Wertbeitrag der IT zu ermöglichen.

Weiterführende Quellen:

Bildnachweise:

  • Photo1 by Pixaline on Pixabay
  • Photo2 by Adobe Stock
  • Photo3 by Stefan Schwane
Autor Stefan Schwane

Borken


Schreibe einen Kommentar