Cloud: Kritische Fragen, Versuch der Einordnung
14.08.2019 / Dr. Behrooz Moayeri / Leiter Competence Center Akademie
Thomas Simon / Geschäftsführer und Datenschutzbeauftragter großer Konzerne
Die nachfolgenden kritischen Fragen zu Cloud-Computing geben die Sicht eines Entscheiders wieder. Diese Fragen wurden mit einem Versuch der Einordnung und Bewertung der aufgeworfenen Aspekte beantwortet.
Ist Cloud eine unter einem neuen Namen daherkommende Form des Outsourcings? Die Sau wurde bereits durch das Dorf getrieben, sie hatte nur einen anderen Namen. Grund: Ich gebe meine IT weg, weil ich selbst nicht in der Lage bin, sie zu organisieren? Das wird mit der Verlagerung von Diensten in die Cloud nicht besser!
Es gibt mehr Unterschiede als Gemeinsamkeiten zwischen Cloud und klassischem Outsourcing. Die Hauptmerkmale von Cloud Computing sind erstens Selbstbedienung, zweitens Nutzbarkeit über standardisierte Netze und Schnittstellen, drittens gemeinsame Nutzung durch verschiedene Kunden, viertens schnelle Skalierbarkeit und fünftens nutzungsabhängige Abrechnung. Diese fünf Merkmale gelten nur zum Teil für klassisches Outsourcing. Eine Anekdote besagt, dass bei Amazon die unterjährige Vermarktung der eigenen, auf Spitzenlast vor Weihnachten ausgelegten IT-Ressourcen die Hauptmotivation für die Cloud war. Das ist an sich keine schlechte Idee. Das Problem ist nicht diese Idee, sondern wie sie von den Kunden genutzt wird. Wer seine IT im Griff hat, tut das auch für ihren Cloud-Teil. Wen die IT überfordert, ist mit Cloud auch nicht zu helfen.
Es ist ein Irrglaube, dass in der Cloud keine Menschen an IT-Systemen arbeiten, die Fehler machen. Mit wem spricht man, an welchen zentralen Help Desk mit welcher Sprache (Russisch, Englisch, Chinesisch, Polnisch) wenden sich die Mitarbeiter?
Die Vorteile der Cloud erkauft man sich mit Nachteilen. Einer dieser Nachteile ist der weitgehende Wegfall der individuellen Betreuung bei Problemen. Die Cloud ist hochgradig standardisiert und funktioniert für alle gleich. Cloud-Betreiber tun alles, um nicht auf Anforderung eines Kunden eine individuelle Konfiguration vornehmen zu müssen. Insofern ist die Beschreibung jedes individuellen Problems in der Cloud „works as designed“. Der Cloud-Betreiber sieht ein Problem nur dann als solches an, wenn es alle oder zumindest viele Kunden betrifft. Solche Probleme werden in Abhängigkeit von ihrer Dringlichkeit behoben. Ein „Help Desk“ hilft weniger als eine gut gepflegte Knowledge-Base. Aber das ist nicht erst seit der Cloud-Erfindung so. Zum Beispiel hat man schon seit Jahren bei Problemen mit Microsoft-Produkten eher die Knowledge-Base genutzt als bei Microsoft angerufen.
Was ist, wenn die Cloud die Daten klaut?
Es ist zwischen den Ausspähangriffen gegen die Cloud durch Dritte und solche mit Wissen des Cloud-Betreibers selbst zu unterscheiden. Letztere sind zum Beispiel aufgrund der Einflussnahme von Staaten auf die Cloud-Betreiber vorstellbar. Dagegen sind mindestens Regeln erforderlich, die denen des Datenschutzes gemäß DSGVO entsprechen. Es muss dafür Regeln geben, in welchen Ländern die Speicherung, Verarbeitung und Übertragung von Daten einer bestimmten Organisation zulässig sind. Aber das ist nur eine juristische Absicherung. Wenn also ein Cloud-Betreiber gegen diese Regeln, denen er sich unterordnet, verstößt, macht er sich gegenüber dem Geschädigten regresspflichtig. Dies ist aber keine Gewähr dafür, dass diese Verstöße ausbleiben. Die Datenübertragung und –speicherung kann unter Anwendung einer eigenen Schlüsselhoheit kryptografisch geschützt werden. Aber die Verarbeitung von Daten erfolgt bislang hauptsächlich anhand von nicht verschlüsselten Daten. Nur sogenannte homomorphe Kryptoalgorithmen könnten dieses Problem lösen. Solange solche Algorithmen nicht verbreitet sind, liegen die meisten Cloud-Daten, zumindest während der Verarbeitung, unverschlüsselt vor. Damit sie nicht kompromittiert werden, muss der Cloud-Betreiber erstens IT-Sicherheit gemäß Stand der Technik anwenden, auch gegen Prozessorschwachstellen wie Spectre und Meltdown, zweitens selbst keine Ausspähung vornehmen und drittens staatlichen Ausspähern keinen Zugang zu den Klartextdaten verschaffen. Die Einschätzung, ob der Cloud-Betreiber diese drei Bedingungen zur Zufriedenheit des Kunden erfüllt und somit auch Dritten die Ausspähung möglichst erschwert, obliegt jedem Kunden selbst.
Welche Rechtsanwälte trifft man im Falle eines Schadens? Ist man dann nicht der Macht internationaler Konzerne ausgeliefert, die Ihren Hauptsitz in einer rechtsfreien Steueroase haben?
Hierzu gibt es keine gute Nachricht. Man sollte so agieren, dass man ohne Rechtsstreit mit internationalen Konzernen auskommt. Auch mit Rechtsansprüchen ist es so wie mit technischen Problemen. Gegen solche großen Konzerne hat ein Rechtsstreit nur dann realistische Chancen auf Erfolg, wenn sich dazu möglichst viele Kunden zusammentun und am besten auch öffentliche bzw. staatliche Unterstützung genießen.
Welche Wartezeiten sind zu überbrücken, wenn die Cloud ausfällt? Welchen Rang hat man bei der Beseitigung des Problems, wenn eine Vielzahl von Kunden gleichzeitig betroffen sind?
Die Cloud ist ein Gebilde, bei dem ein Totalausfall aller Funktionen in allen Regionen selten vorkommt. Diese seltenen Fälle beheben die Betreiber so schnell wie sie können, bei ihrer personellen Ausstattung also sehr schnell. Datenverluste kommen jedoch häufiger vor. Im Kleingedruckten der Geschäftsbedingungen der Cloud-Betreiber steht fast immer, dass der Betreiber bei Datenverlusten nicht für den Schaden aufkommen muss. In der Cloud hat man also dieselbe Situation wie On Premises: Die Daten sind zu sichern, und zwar auf unabhängigen Medien und unter Anwendung eines Medienbruchs, der die Fortpflanzung des Fehlers bzw. Verlustes von einer zur anderen Speicherstufe verhindert.
Ist Cloud grundsätzlich zuverlässiger, kostengünstiger, schneller, sicherer, flexibler skalierbar als eine eigene Lösung?
Die Cloud ist zuverlässiger, sicherer und schneller skalierbar als die meisten On-Premises-Lösungen, was aber hauptsächlich an den meisten On-Premises-Lösungen liegt. Was die Kosten betrifft, erweist sich in vielen Fällen, dass der sogenannte Business Case für die Cloud nicht unter Berücksichtigung aller relevanten Parameter berechnet worden ist, wenn er überhaupt ernsthaft berechnet wurde. Auch die Performance von Cloud-Anwendungen erweist sich in vielen Fällen als nicht zufriedenstellend. Die für die Cloud-Nutzung erforderliche Leitungskapazität, aber vor allem die sich auf die Performance negativ auswirkende Latenz, wird oft nicht gebührend berücksichtigt. Es gibt gute Gründe dafür, weshalb die Ansätze Fog und Edge Computing entstanden sind. Spätestens mit der ernsthaften und regen Diskussion dieser Ansätze ist erwiesen, dass Cloud Computing allein nicht für alle Anwendungsfälle geeignet ist.
Ist zu erwarten, dass Cloud die neue erweiterte Form der SAP ist, hier muss sich die Firmenorganisation der vorgegebenen Prozesslandschaft der Cloud anpassen: One size fits all (eine Unterhosengröße für alle!)? Sind alle Cloud-Jünger auf diesen Umstand vorbereitet?
Die Situation, dass die Einheitsunterhose hier und da nicht passt, gibt es schon. Nicht alle Cloud-Jünger sind darauf vorbereitet. Aber die Einsicht wird sich unaufhaltsam verbreiten.
Bisher war es eine (gute) Strategie vieler Unternehmen, die Kern-Anwendungen selbst zu betreiben und nur die Dienstleistungen an externe Dienstleister zu vergeben, die im eigenen Unternehmen nicht skalieren, zum Beispiel Zugriff auf Wetterdaten für die Steuerung von Gebäude-Klimatisierung, Überwachung der Gebäude durch Video mit Aufschaltung auf eine zentrale Leitwarte, Management von gerouteten Verbindungen zwischen Standorten, Durchführung von komplexen Bildberechnungen usw.. Gerät diese Strategie mit Cloud Computing in Vergessenheit?
Die Beschränkung der Cloud-Nutzung auf Anwendungen, die nicht das Hauptgeschäft bzw. die Kernaufgaben der Organisation betreffen, ist bei vielen Organisationen gar nicht mehr gegeben. Eine Reihe von Unternehmen verlässt sich auch in ihren Kernaufgaben auf die Cloud. Dies gilt insbesondere für viele kleine Unternehmen. Wenn ich Pizza ausliefere und Bestellungen über eine Webseite aufnehme, kann ich meine Kernanwendung in der Cloud betreiben. Ich kann die Images und Daten so sichern, dass selbst bei Totalausfall der genutzten Cloud und sogar bei dauerhafter Abschaltung dieser Cloud meine Kernanwendung woanders schnell genug lauffähig ist. Je komplexer aber meine Kernapplikationen werden, desto komplexer werden ihr Betrieb und ihre Absicherung gegen alle denkbaren Ausfälle. Und das gilt nicht nur für die Cloud, sondern auch für ein eigenes RZ.
Rein in die Kartoffeln, Raus aus den Kartoffeln. Die Migration von Anwendungen in die Cloud ist ein Migrationsprojekt, z.T. mit erheblicher Komplexität. Welche Pläne liegen vorbereitet in der Schublade, für den Fall, dass man mit dem Dienstleister nicht mehr zufrieden ist? Welche Schritte sind erforderlich, um einen Dienstleisterwechsel vorzunehmen? Geht das ohne Unterbrechung? Wie ist das Risiko einzuschätzen? Oder macht man sich mit der Verlagerung von IT in die Cloud von einem Outsourcing-Unternehmen so abhängig, dass es kein Entkommen mehr gibt?
Eine Exit-Strategie aus der Cloud ist dringend erforderlich. Dies wird allzu häufig vernachlässigt. Oft begegnet man dem Argument: „Microsoft war bei PC-Betriebssystemen und Büroanwendungen schon immer Quasi-Monopolist. Ich hatte keine Exit-Strategie aus Windows, keine aus Microsoft Office. Warum brauche ich für die Cloud eine Exit-Strategie?“ Dadurch, dass etwas „schon immer“ da war, wird es nicht besser. Vielleicht kann man die Cloud sogar als Chance nutzen, um gefährliche Abhängigkeit zu eliminieren. Zum ersten Mal seit Jahrzehnten gibt es zum Beispiel mit der Google G-Suite eine echte Alternative zu Microsoft Office. Aber ich muss wissen, wie ich meine Daten aus der Cloud herausbekomme, und dies am besten auch regelmäßig im Zuge von Backup tue.
Zum guten Schluss noch eine Frage zur guten alten DSGVO. Ist in allen Fällen sicherzustellen, dass der Cloud-Dienstleister nach den dort festgelegten Regeln arbeitet und das Thema Auftragsdatenverarbeitung korrekt behandelt wird? Zur Erinnerung: Auch wenn man die Bearbeitung von personenbezogenen Daten an einen externen Dienstleister übergibt, ist man selbst nicht aus der Verantwortung entlassen!
Die „gute alte“ DSGVO ist in Wirklichkeit so neu, dass die Rechtsprechung dazu noch sehr viele Lücken aufweist. Man braucht kein Rechtsanwalt zu sein um zu wissen, dass es hundertprozentige Rechtssicherheit nicht gibt. Aber die folgenden Aussagen können als unstrittig angesehen werden: Erstens ist der Verarbeitungs- und Speicherort im eigenen RZ hinsichtlich des Datenschutzes gegenüber jeglicher Cloud per se ein Vorteil. Zweitens ist die Speicherung und Verarbeitung im eigenen RZ allein keine Gewähr für die Konformität mit Datenschutzvorschriften. Drittens gibt es Cloud-Szenarien, die hinsichtlich Datenschutzes besser sind als manche OnPrem-Lösungen, die schlecht gemacht sind. Die Wahrheit jenseits dieser sehr allgemeinen Regeln werden wir leider erst nach einigen Jahren kennen, wenn es mehr Gerichtsverhandlungen und Urteile gegeben hat. Bis dahin gilt natürlich: Entscheidungen mit Datenschutzrelevanz sind umso besser, je fundierter das dazu genutzte technische und juristische Wissen ist.
