Analysen
18. April 2012
AUTOR: Businesscloud.de

Ebenso wie im Bereich IT-Outsourcing sind vertragliche Regelungen im Bereich Cloud-Computing unabdingbar. Sie sollten insbesondere auf die Bereiche Datenschutz, Datensicherung und IT-Security eingehen. (Bild: Gerd Altmann / Shapes_AllSilhouettesc.om / Pixelio.de)

Wasserdichte Verträge für sicheres Cloud Computing

Wer Cloud-Computing-Dienste von einem externen Service Provider bezieht, muss mit diesem klare Absprachen treffen. Das betrifft nicht nur die Frage, welche Dienste der Cloud-Computing-Service-Provider in welcher Qualität bereitstellt, sondern auch Faktoren wie die Sicherheit von Daten und IT-Systemen. Nachlässigkeit in dieser Beziehung kann teuer werden.

Laut einer Studie von PwC stehen deutsche Mittelständler Cloud-Computing positiv gegenüber. Sie erwarten sich vor allem Kosteneinsparungen und eine größere Flexibilität. (Bild: PwC)

Cloud Computing ist Vertrauenssache. Das gilt gleichermaßen für die Nutzer wie die Anbieter von Cloud-Computing-Diensten wie Software as a Service, Desktop as a Service sowie IT-Infrastrukturen und Entwicklungsplattformen, die im Rahmen eines Service-Modells bereitgestellt werden. Vertrauen entsteht jedoch nur dann, wenn ein Cloud-Service-Provider sicherstellen kann, dass die Daten seiner Kunden vor Verlust und Missbrauch sicher sind. Alle bekannten Untersuchungen von Marktforschungsgesellschaften belegen dies. So ist für 34 Prozent der mittelständischen Unternehmen in Deutschland, die laut einer Studie von PwC bereits Cloud-Computing-Angebote nutzen, mangelnde Sicherheit ein potenzieller Schwachpunkt dieser Technologie.

Angst vor dem Verlust über die Kontrolle der eigenen Daten und Sorge um die Sicherheit geschäftskritischer Informationen sind laut einer Studie von PwC mögliche Hemmnisse beim Einsatz von Cloud-Computing. (Bild: PwC)

Umso wichtiger ist es, Sicherheitsrisiken auszuschließen. Das gilt aber nicht nur für die Technik, etwa den Schutz von Datenbeständen eines Cloud-Computing-Kunden mithilfe von IT-Sicherheits-Systemen, Disaster-Recovery-Maßnahmen oder Verschlüsselung. Auch in den Verträgen, die Nutzer und Anbieter von Cloud-Computing-Diensten schließen, muss dediziert auf Sicherheitsbelange eingegangen werden.

Security-Maßnahmen vertraglich fixieren

Das heißt im Klartext: Alle Maßnahmen im Zusammenhang mit dem Absichern von Datenbeständen und IT-Systemen sowie die verwendeten Sicherheitsstandards müssen zwischen dem Anbieter und Nutzer von Cloud-Computing-Diensten vertraglich vereinbart werden. Das kann im Rahmen der Service Level Agreements (SLAs) erfolgen, die mittlerweile Bestandteil jedes Vertrages sind, bei dem IT-Dienstleistungen einem Dritten übertragen werden. Der Kunde und der Provider haben zudem die Option, ein separates Security-SLA abzuschließen. Darin werden die sicherheitsrelevanten Aspekte aufgeführt, die der Provider trifft, um den Schutz der Daten von Kunden zu gewährleisten. In solchen SLAs wird beispielsweise festgelegt, welche Maßnahmen der Provider trifft, um den Zugang von Unbefugten zu den Daten von Kunden zu verhindern, wann Datensicherungsläufe durchgeführt werden und wo Backup-Daten gespeichert werden. Weitere Punkte, die ein Security-SLA enthalten kann, sind Art und Stärke der eingesetzten Verschlüsslungsverfahren sowie ob erweiterte Sicherungsmaßnahmen vorhanden sind wie beispielsweise ein Ausfallrechenzentrum. Dieses übernimmt im Notfall die Funktion des zentralen Data-Centers.

Der Kern: Service Level Agreements

Im Service Level Agreement wird festgehalten, welche Leistungen in welcher Qualität ein Cloud-Service-Provider erbringen muss. Das betrifft in erster Linie die Verfügbarkeit der Services, Stichwort Zugriffszeiten und Wartungsfenster, außerdem die Reaktionszeiten bei Störungen. Der letztgenannte Punkt wird in vielen Verträgen nicht angesprochen. Pech für den Nutzer, wenn dann geschäftskritische Dienste stunden- oder gar tagelang nicht zur Verfügung stehen. Man denke nur an die Ausfälle von Azure, dem PaaS-Dienst von Microsoft, Anfang 2012.

Für personenbezogene und persönliche Daten fordert das Bundesdatenschutzgesetz ein besonders hohes Schutzniveau. Dies muss bei der Verarbeitung solcher Daten durch einen Cloud-Service-Provider berücksichtigt werden. (Bild: Bitkom)

Ein SLA kann jedoch auch die Bereiche IT-Security, Datenschutz und Datensicherung mit einbeziehen. Im Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter" empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) explizit, in entsprechenden Vereinbarungen auch sicherheitsrelevante Inhalte festzuhalten. Der Service Provider kann sich in dem Agreement beispielsweise dazu verpflichten, Intrusion-Prevention-Systeme einzusetzen oder spezielle Log-Management-Lösungen zu implementieren. Diese Systeme unterbinden Zugriffe Unbefugter auf Kundendaten beziehungsweise machen die Aktivitäten von Systemverwaltern transparent. Zudem sollten in einem SLA Vertraulichkeitsvereinbarungen fixiert sein, inklusive Sanktionen bei Verstößen durch den Service Provider. Doch Vorsicht: Solche Klauseln befreien den Nutzer von Cloud-Computing-Diensten nicht von der Verantwortung für seine Daten. Laut §9 des Bundesdatenschutzgesetzes muss der Kunde als "datenerhebende Stelle" alle technischen und organisatorischen Maßnahmen treffen, um den Schutz von Unternehmensdaten sicherzustellen. Ein "Abschieben" dieser Verantwortung auf den Cloud-Service-Provider ist nicht möglich.

Datenschutz bleibt in der Verantwortung des Cloud-Computing-Nutzers

Für den Nutzer von Cloud-Computing-Services bedeutet dies, dass er auch Daten, die bei einem Cloud-Service-Provider gespeichert sind, gegen Missbrauch und Verlust schützen muss. Besonders strenge Vorgaben sieht das Bundesdatenschutzgesetz für personenbezogene Daten vor. Die Rechtsanwältin Simone Winkler hat die einzelnen Vorgaben im Beitrag Cloud Computing – Datenschutz und Datensicherheit aufgelistet. So muss der Nutzer von Cloud-Services sicherstellen, dass beim Transfer von Daten zum Service Provider und bei der Speicherung und Bearbeitung auf IT-Systemen des Anbieters Unbefugten keinen Zugang zu den Informationen haben. Diese Daten dürfen nicht gelesen, kopiert, verändert oder gelöscht werden.

Die Regelungen bezüglich der Sicherheit in einem Vertrag zwischen dem Cloud-Computing-Nutzer und dem Service-Provider müssen auch für Subunternehmer des Providers gelten. Ein SaaS-Anbieter kann beispielsweise die Plattform- und die Infrastruktur-Dienste anderer Provider nutzen, um Kunden Applikationen zur Verfügung zu stellen. (Bild: Bitkom)

Zudem ist sicherzustellen, dass alle Aktivitäten von Mitarbeitern des Service-Providers im Zusammenhang mit Kundendaten protokolliert werden und später nachvollzogen werden können. Den meisten Nutzern von Cloud-Computing-Diensten dürfte es bereits schwer fallen, diese Fülle von Vorgaben im eigenen Haus umzusetzen, ganz zu schweigen von der Herausforderung, die Einhaltung dieser Regelungen durch den Service Provider zu kontrollieren. Hier helfen vertragliche Regelungen nur bedingt weiter. Eine Option ist, dem Nutzer das Recht einzuräumen, die Protokolle von Audits einzusehen, die der Service-Provider in seinem Unternehmen durchführt. Verfügt ein Provider über eine Sicherheitszertifizierung, etwa nach ISO 27001, gehören regelmäßige Audits zum Pflichtprogramm. Interessanterweise verweigern speziell Cloud-Service-Provider mit Sitz im Ausland, etwa den USA, ihren Kunden den Zugang zu solchen Informationen. Somit bleibt für den Nutzer von Cloud-Services solcher Anbieter unklar, welche Sicherheitsmaßnahmen diese Unternehmen in der Praxis durchführen.

Individueller Service statt Massenabfertigung

Einen allgemein gültigen Standardvertrag, der die Rechte und Pflichten von Nutzern und Anbietern von Cloud-Computing-Diensten definiert, gibt es nicht. Daher bleibt es den beiden Vertragspartner überlassen, entsprechende Vereinbarungen auszuhandeln. Eine Ausnahme bilden große Cloud-Service-Provider wie Amazon, Google oder Microsoft. Sie konfrontieren den Nutzer mit Verträgen, die kaum Raum für individuelle Regelungen lassen. Anders sieht dies bei mittelständischen Service-Provider wie etwa Pironet NDH aus. Sie gehen in der Regel stärker auf spezielle Anforderungen von Kunden ein. Dies spiegelt sich auch in den Verträgen wider. Je nach den individuellen Anforderungen eines Kunden oder abhängig von der Branche, in der ein Unternehmen tätig ist, bieten solche Cloud-Service-Provider ihren Kunden maßgeschneiderte vertragliche Vereinbarungen an, auch in Bezug auf Bereich wie Datenschutz und Disaster Recovery. Hinzu kommt ein weiterer Faktor: Service-Provider mit Hauptsitz in Deutschland unterliegen deutschem und EU-Recht. Dies ist nicht nur dann von Bedeutung, wenn es zu einem Rechtsstreit kommen sollte. Gesetzliche Regelungen wie das Bundesdatenschutzgesetz legen fest, dass eine privilegierte Auftragsdatenverarbeitung de facto nur von einem Cloud-Computing-Anbieter mit Sitz in Deutschland oder einem EU-Mitgliedsstaat erfolgen darf. Solange mit Drittländern, etwa den USA, keine datenschutzrechtlichen Mindeststandards vereinbart wurden, wird sich daran auch nichts ändern.

Typische Problempunkte in Verträgen

Viele Verträge im Bereich Cloud Computing weisen Schwachpunkte auf. Dies ist nicht auf den bösen Willen des Vertragspartner zurückzuführen. Häufig werden einzelne Punkte schlichtweg übersehen. Dazu zählt die Datenverschlüsselung. Die meisten Vereinbarungen enthalten zwar einen entsprechenden Passus – aber gewissermaßen nur eine "halbe" Regelung. Häufig findet sich ein Passus, der die Verschlüsselung von Nutzerdaten auf Storage- und Backup-Systemen des Service-Providers regelt. Das ist wichtig, damit weder Hacker Zugang zu diesen Informationen erhalten noch Mitarbeiter des Providers, die nicht dazu autorisiert sind. Häufig übersehen wird dabei der Transportweg, also die Datenverbindungen zwischen den IT-Systemen des Cloud-Computing-Users und des Providers. Auch die Übermittelung von Daten muss über abgesicherte Verbindungen erfolgen, beispielsweise über ein Virtual Private Network (VPN). Ein VPN stellt einen verschlüsselten Tunnel bereit, durch die Informationen auf sichere Weise transportiert werden. Virtuelle Private Netze sind insbesondere für mobile Nutzer wichtig, die beispielsweise über "unsichere" Netze wie ein öffentliches Wireless LAN in einem Flughafen oder Hotel aus Cloud-Computing-Dienste nutzen. Deshalb ist es sinnvoll, in einen Vertrag einen Passus aufzunehmen, der die Datenverschlüsselung beim Transport über das Internet oder andere Netzwerkverbindungen vorgibt. Das Ende einer Geschäftsbeziehung berücksichtigen Ein zweiter Punkt, der häufig unzureichend berücksichtigt wird, ist eine "Exit"-Regelung. Erfahrungswerte, was nach der Kündigung oder dem Auslaufen eines Cloud-Computing-Vertrages passiert, sind noch rar. Es muss ja nicht unbedingt die Insolvenz eines Kunden oder Service-Providers sein, die für die Zusammenarbeit das Aus bedeutet. Möglicherweise führen geänderte Geschäftsprozesse oder eine neue Firmenstrategie auf Seiten des Nutzers dazu, dass dieser den Provider wechseln will oder lieber auf ein Private-Cloud-Computing-Modell setzt. Auch dies gilt es in den Vertragsklauseln zu berücksichtigen, insbesondere unter dem Aspekt Sicherheit. Der Vertrag sollte zweifelsfrei darlegen, was mit den Daten des Kunden bei Ende der Geschäftsbeziehung passiert. So muss unter anderem sichergestellt sein, dass
  • die Daten von allen Systemen des Cloud-Service-Providers gelöscht werden, auch von Servern und Storage-Systemen von Subunternehmen,
  • dieser Löschvorgang mithilfe von Techniken erfolgt, die ein Wiederherstellen der Daten durch Unbefugte unmöglich machen,
  • die Daten an den Anwender übermittelt werden, und zwar in einem gängigen Format, das dieser auf seinen internen IT-Systemen verwendet,
  • auch alle Kopien der Datensätze, bei Einsatz von Verschlüsselung inklusive der dazugehörigen Keys, übergeben werden,
  • eine feste Zeitspanne definiert wird, innerhalb der die Transaktion der Daten abgeschlossen sein muss.

Praxistipps: Hausaufgaben vor Abschluss eines Vertrages

Vor Abschluss eines Vertrages sollten Nutzer und Anbieter von Cloud-Computing-Diensten zudem folgende Punkte klären. Dies hilft, bereits im Vorfeld Unklarheiten und potenzielle Konfliktpunkte auszuräumen: Details der Sicherheitsarchitekturen beim Anbieter und Nutzer klären: Davon hängt ab, welches Sicherheitsniveau sich durchgängig gewährleisten lässt und wie die Arbeitsteilung zwischen Anbieter und User in dieser Beziehung aussieht. So lässt sich im Vertrag festlegen, welche Schnittstellen für die Datenübergabe genutzt werden und wer für die Verschlüsselung der Daten zuständig ist. Kriterien für die Messbarkeit des Sicherheitsniveaus erarbeiten: Dies dürfte eine der schwierigsten "Hausaufgaben" sein. Eine Möglichkeit besteht darin, Audits durchzuführen und Sicherheitszertifikate zu erwerben, etwa nach ISO 27001 oder gemäß EuroCloud Star Audit SaaS, und diese Zertifizierungen zum Vertragsbestandteil zu machen. Dies stellt sicher, dass ein Cloud-Service-Provider bestimmte Anforderungen in Bezug auf die Daten- und IT-Sicherheit erfüllt. Sicherheitstechnik des Anbieters prüfen: Geschäftskunden sollten im Vorfeld die Sicherheitsmaßnahmen überprüfen, die ein Provider einsetzt. Seriöse Anbieter wie Pironet NDH ermöglichen es potenziellen Kunden, sich vor Ort selbst ein Bild von den Security-Maßnahmen zu machen. Das setzt voraus, dass der Nutzer über das Know-how verfügt, um diese Sicherheitstechniken bewerten zu können. Technische Machbarkeit evaluieren: In einem Vertrag Datenschutz- und Datensicherungsmaßnahmen festzuschreiben, ist eine Sache, sie in der Praxis umzusetzen, eine andere. Wichtig ist, dass beide Seiten vor Abschluss des Vertrages prüfen, ob die geforderten IT-Security-Features im laufenden Betrieb bereitgestellt werden können. Einige Anbieter neigen speziell in diesem Punkt dazu, Zusicherungen zu machen, die sie nicht halten können. Standort von Servern und Speichersystemen ermitteln und im Vertrag festschreiben: Der Provider hat eine Filiale in Deutschland, die Daten von Kunden lagern jedoch auf IT-Systemen in Nordamerika oder Asien. Dies kann für den Nutzer böse Folgen haben, weil er damit gegen Regelungen des Bundesdatenschutzgesetzes und Compliance-Vorschriften verstößt. Deshalb vorab klären und sich dies bestätigen lassen, in welchem Rechenzentrum der Cloud-Service-Provider Kundendaten speichert. Vorzugsweise sollte dies in Deutschland oder zumindest in einem EU-Land erfolgen. Details zu Reporting, Audits und Incident-Management klären: Dies gilt nicht nur für den Cloud-Service-Provider, sondern auch für den Nutzer von Cloud-Computing-Diensten. Schließlich könnte auch ein illoyaler Mitarbeiter Nutzerdaten kompromittieren oder illegale Aktivitäten durchführen. Regelungen zu diesen Punkten können in das SLA integriert oder in einem separaten Security-SLA aufgeführt werden.

Fazit

Regelungen, welche die Integrität und Sicherheit von Nutzerdaten garantieren, sind ein wesentlicher Bestandteil eines Vertrages über die Nutzung von Cloud-Computing-Diensten. Allerdings lassen sich nicht alle Eventualitäten in einer solche Vereinbarung abbilden, nicht einmal in einem Vertragswerk, dass mehrere Hundert Seiten umfasst. Mindestens ebenso wichtig wie ein schriftliches Vertragswerk ist daher ein weiterer Faktor: ein Vertrauensverhältnis zwischen dem Cloud-Service-Provider und seinem Kunden. Dieser muss die Gewähr haben, dass der Provider auf seine Anforderungen eingeht und ihm gegebenenfalls maßgeschneiderte Lösungen – und Verträge – zur Verfügung stellt. Bei den Massen-Angeboten vieler großer Anbieter ist das nicht der Fall. Dies spiegelt sich auch in Vertragsklauseln wider, die dem Nutzer kaum Möglichkeiten einräumen, auf Belange in zentralen Bereichen wie Datenschutz und IT-Sicherheit Einfluss zu nehmen. Bei der Auswahl eines Cloud-Service-Providers sollten daher auch solche Faktoren Berücksichtigung finden, nicht nur Kriterien wie niedrige Preise.

Weiterführende Informationen

Der EuroCloud Deutschland_eco bietet als Verband der deutschen Cloud Computing-Industrie mit seinem Leitfaden Recht, Datenschutz & Compliance einen guten Überblick über alle rechtlichen Aspekte beim Cloud Computing. Im Leitfaden geben Rechtsexperten unter anderem Tipps zur Vertragsgestaltung und Anbieterwahl. Das Fraunhofer-Institut AIESEC hat bereits 2009 eine Studie mit dem Titel Cloud Computing Sicherheit – Schutzziele, Taxonomie, Marktübersicht veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Mai 2011 im Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter Mindestanforderungen im Bereich IT-Security für Cloud-Service-Provider zusammengefasst. Die Initiative Cloud Computing des ITK-Fachverbandes Bitkom bietet auf ihrer Web-Seite eine Fülle von Informationen rund um Cloud-Services. Ein Bereich widmet sich speziell dem Thema Vertragliche Regelungen für Cloud Computing. Simone Winkler von der Anwaltskanzlei Breuning und Winkler hat auf der Web-Seite der Kanzlei einige Aufsätze zu den rechtlichen Aspekten von Cloud-Computing veröffentlicht, etwa zur Auftragsdatenverarbeitung, Datenschutz und Datensicherheit und Sperrrechten des Nutzers.

Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

Köln, den 22. November 2016 – Die EASY SOFTWARE AG, einer der führenden Anbieter für elektronische Archivierung, ... Weiterlesen
Köln, den 2. August 2016 – Der ERP-Spezialist proALPHA stellt die Cloud-Variante seines ERP-Systems ab sofort über die Hosted ... Weiterlesen
München/Köln, den 30. Juni 2016 – In der umfassendsten Analyse des deutschen Marktes für Cloud-Computing-Services im B2B-Bereich ... Weiterlesen
Köln, den 21. Juni 2016 – PIRONET macht Anwendern den Umstieg auf die neue Anwendungssuite SAP S/4HANA ab sofort besonders leicht: Kunden ... Weiterlesen