Die Merkmale der technischen Sicht sollen die Frage beantworten, ob der zu beziehende Cloud Service alle Anforderungen an seine technische Umgebung im Kundenunternehmen erfüllt. Zur Beantwortung dieser Frage sind die Einzelkriterien innerhalb der Dimensionen Sicherheit & Datenschutz, Interoperabilität & Performanz sowie Features zu prüfen.

2.1 DATENSICHERHEIT

Eine hohe Datensicherheit ist nicht nur aus wirtschaftlicher oder wettbewerblicher Sicht, sondern auch aus rechtlicher Sicht relevant (siehe § 9 BDSG). Insbesondere dann, wenn personenbezogene Daten verarbeitet oder gespeichert werden sollen, muss gewährleistet sein, dass die Anforderungen, die das BDSG an die Datensicherheit formuliert, erfüllt sind. Zu diesen Anforderungen gehören neben technischen auch organisatorische Sicherheitsmaßnahmen1.

Technische Sicherheitsmaßnahmen wie z. B. Verschlüsselungsverfahren, Alarmanlagen oder Videoüberwachung zielen darauf ab, physische Gefahrenquellen zu eliminieren. Zu diesen Gefahrenquellen gehören u. a. Feuer, Wasser und unerwünschte Fremdzugriffe. Organisatorische Sicherheitsmaßnahmen umfassen hingegen alle nicht-technischen Maßnahmen in Form von Handlungsanweisungen und deren Umsetzung durch spezielle Verfahrensweisen2.

Sicherheitsmaßnahmen sind für insgesamt acht Bereiche zu ergreifen. Dazu gehören: (1) die Zutrittskontrolle, (2) die Zugangskontrolle, (3) die Zugriffskontrolle, (4) die Weitergabekontrolle, (5) die Eingabekontrolle, (6) die Auftragskontrolle, (7) die Verfügbarkeitskontrolle und (8) die Datentrennung3.

Kunden, die den Einsatz eines Cloud Service für die Speicherung und Verarbeitung geschäftskritischer Daten und/oder personenbezogener Daten planen, sollten sich informieren, inwieweit der Cloud Service- Anbieter eine datenschutzrechtlich konforme Verarbeitung und/oder Speicherung von personenbezogenen Daten gewährleisten kann. Anhaltspunkte hierfür bieten die Kataloge des BSI IT-Grundschutz4. Ob die vom Anbieter ergriffenen Maßnahmen jedoch ausreichend sind, ist jeweils vom Einzelfall abhängig.

Zertifikate staatlicher Organisationen und akkreditierter Prüfer

Zertifikate staatlicher Organisationen und akkreditierter Prüfer können dem Kunden Aufschluss über die Vertrauenswürdigkeit und Leistungsfähigkeit eines Cloud-Anbieters geben. Insbesondere dann, wenn der Kunde nicht die Möglichkeit hat, ein Audit beim Anbieter durchzuführen, können Zertifikate für Vertrauen in den Anbieter sorgen. Der Kunde sollte entsprechend analysieren, ob der Cloud-Anbieter über Zertifikate verfügt und über welche er verfügt.

Auditierbarkeit des Anbieters

Die Auditierung eines Cloud-Anbieters ermöglicht es dem Kunden, den Leistungserstellungsprozess des Anbieters in Bezug auf die Einhaltung von Anforderungen und Richtlinien wie sie bspw. das BSI5 definiert zu evaluieren. Neben Audits durch unabhängige Prüfinstitutionen mit Signalwirkung für den Kunden, bietet ein eigenes Audit die Möglichkeit, Prüfkriterien selbst festzulegen.

Infrastruktur-Redundanz

Um Ausfallzeiten zu verringern, werden moderne Rechenzentren redundant aufgebaut. So kann der Ausfall kritischer Systemkomponenten kompensiert oder Systemkomponenten ohne Beeinträchtigung des laufenden Betriebs gewartet werden.

Für Kunden stellt sich die Frage, ob und in welchen Bereichen von Seiten des Cloud Service Anbieters Zusicherungen hinsichtlich der Infrastruktur-Redundanz bestehen. Relevante Infrastrukturkomponenten sind bspw. die Netzwerkanbindung, die Stromversorgung, die Klimatisierung oder sogar das komplette Rechenzentrum selbst.

2.2 INTEROPERABILITÄT

Der Begriff der Interoperabilität stellt auf den Grad der technischen Kopplung zwischen zwei Cloud Services oder zwischen einem Cloud Service und den IT-Systemen des nutzenden Unternehmens ab. Die Kopplung beeinflusst den Umfang der Änderungen, die an der technischen Realisierung des aufrufenden Service vorgenommen werden müssen, wenn sich an der technischen Realisierung des aufgerufenen Service etwas ändert. Bei geringem Kopplungsgrad sind wenige, bei hohem Kopplungsgrad dagegen umfangreiche Änderungen notwendig. Die Nutzung einheitlicher Schnittstellen- und Kommunikationsstandards stellt eine Grundvoraussetzung für eine hohe Interoperabilität dar.

Datenexportfunktion zwischen verschiedenen Systemen

Insbesondere für den Fall eines notwendigen Wechsels des Cloud-Anbieters ist sicherzustellen, dass die vom Cloud Service gehaltenen Daten bei Beendigung des Auftragsverhältnisses exportiert werden können. Das Fehlen einer solchen Funktion kann erhebliche Wechselkosten verursachen und damit die einseitige Abhängigkeit vom Cloud-Anbieter erhöhen. Kunden sollten sich informieren, ob der zu beziehende Cloud Service über eine Datenexportfunktion verfügt und wie diese ausgestaltet ist.

Datenexportfunktion hinsichtlich der Formate

Ist die Möglichkeit für einen Datenexport gegeben, sollten Kunden prüfen, ob die Daten nach ihrem Export in einem für alternative Cloud Services oder eine unternehmensinterne Softwarelösung verarbeitbaren Format vorliegen. Dies ist nicht nur für den Fall eines Anbieterwechsels relevant, sondern auch dann, wenn der Cloud -Anbieter selbst keine Backup-Funktion für die von ihm gehaltenen Kundendaten anbietet.

Datenimportfunktion zwischen verschiedenen Systemen

Um eine fehlerbehaftete händische Eingabe von Daten zu vermeiden, ist es für den Kunden wichtig, zu erfahren, ob der Cloud-Anbieter eine Datenimportfunktion anbietet. Über eine solche Funktion lassen sich, soweit notwendig, Daten aus den Systemen des Kunden automatisiert zum Anbieter übertragen.

Datenimportfunktion hinsichtlich der Formate

Um eine aufwendige Datentransformation zu vermeiden oder deren Aufwand zu reduzieren, sollte der Datenimport ein für den Kunden kompatibles Format anbieten. Kunden sollten sich entsprechend informieren, in welchen Formaten Daten vorliegen müssen, um beim Cloud-Anbieter importiert werden zu können.

Unterstützte Schnittstellen

Durch eine medienbruchfreie Integration eines Cloud Service in die Applikationslandschaft des Kunden (oder mit den Angeboten anderer Cloud-Anbieter) können Automatisierungspotentiale auf Geschäftsprozessebene ausgenutzt werden. Aufgrund von inkompatiblen Schnittstellen lässt sich allerdings u. U. nicht jeder Cloud Service mit den im Kundenunternehmen eingesetzten IT-Systemen ohne größeren Aufwand integrieren. Kunden sollten sich darüber informieren, welche Schnittstellen zu den im Kundenunternehmen eingesetzten lokalen Software-Lösungen und Produkten von dem zu beziehenden Cloud Service unterstützt werden und welche Veränderungen diesbezüglich in zukünftigen Versionen des Service zu erwarten sind.

2.3 FEATURES

Unter Software-Features sind Unterscheidungsmerkmale einer Software im Sinne des Funktionsumfanges zu verstehen.

Zugriffsmöglichkeiten

Zugriffsmöglichkeiten umfassen die vom Cloud-Anbieter unterstützten Netzwerkprotokolle zum Fernzugriff. Während für einzelne, weniger komplexe Services ein Zugriff über eine Weboberfläche ausreichend sein kann, werden für andere Cloud Services ggf. Zugriffsmöglichkeiten über Netzwerkprotokolle wie SFTP benötigt.

Identitäts- und Rechtemanagement

Das Identitäts- und Rechtemanagement dient der Kontrolle des Zugriffs von Personen auf einen Cloud Service und auf die von diesem gehaltenen Daten. Ziel ist es, den Zugriff auf den Service und die Daten durch unbefugte Personen zu verhindern. Ein Cloud-Anbieter sollte selbst ein Identitäts- und Rechtemanagement oder Schnittstellen zu externen Management-Lösungen anbieten6, 7.

Das Bundesamt für Sicherheit in der Informationstechnik definiert unterschiedliche Sicherheitsstufen für das Identitäts- und Rechtemanagement bei Cloud Services sowie deren Ausgestaltung in Form organisatorischer, personeller und technischer Maßnahmen8. Der Kunde sollte nicht nur prüfen, welche Sicherheitsmaßnahmen er benötigt, sondern auch inwieweit die vom Cloud-Anbieter bereitgestellte Management-Lösung funktionell seinen zukünftigen Anforderungen entspricht. Insbesondere dann, wenn ein Unternehmen schnell wächst, kann der Aufbau eines eignen Identitäts- und Rechtemanagements und die Anbindung des Cloud Services an diese Management-Lösung aus Gründen der Komplexitätsbeherrschung sinnvoll sein. Dies gelingt jedoch nur, wenn der Cloud-Anbieter Schnittstellen zu externen Management-Lösungen anbietet. Andernfalls sehen sich Kunden, die einen weitgehenden Bezug von IT-Services aus der Cloud planen, u. U. mit verschiedenen, parallel zu betreibenden Management- Lösungen konfrontiert.

Update-Management

Das Update-Management umfasst die vom Cloud-Anbieter zur Verfügung gestellten Maßnahmen zur Aktualisierung von Software oder Daten. Updates können zu einer temporär geringeren Performanz des Cloud Service führen oder die Erreichbarkeit des Service einschränken. Darüber hinaus können sich Schnittstellen oder Konfigurationsmöglichkeiten verändern. Entsprechend sind nach Updates von konfigurierten Services oder solchen die eng mit anderen IT-Systemen integriert wurden, Testaufwände und ggf. Aufwände für die Rekonfiguration bzw. Reintegration einzuplanen.

Vor allem für Services, die geschäftskritische Prozesse unterstützen, sollten sich Kunden informieren, in welcher Form das Update-Management vom Cloud Service-Anbieter realisiert wird. Neben einer automatischen Durchführung von Updates ist auch eine Terminierungsmöglichkeit von Updates durch den Kunden oder sogar eine Steuerungsmöglichkeit von Updates durch den Kunden denkbar.

1 vgl. www.bfdi.bund.de, zuletzt zugegriffen am 04.06.2014.

2 ebda

3 Anlage zu § 9 BDSG, zuletzt zugegriffen am 04.06.2014

4 vgl. www.bsi.bund.de, zuletzt zugegriffen am 04.06.2014

5 BSI (2013). Vorabversion Baustein Cloud Management. IT-Grundschutz, Bundesamt für Sicherheit in der Informationstechnik.

6 BSI (2013). Vorabversion Baustein Cloud Management. IT-Grundschutz, Bundesamt für Sicherheit in der Informationstechnik.

7 BSI (2012). Sicherheitsempfehlungen für Cloud Computing Anbieter – Mindestanforderungen in der Informationssicherheit. Bonn, Bundesamt für Sicherheit in der Informationstechnik.

8 ebda