Als eine der treibendenden Kräfte der Digitalisierung bringt Cloud Computing viele Chancen für die Gesellschaft und Geschäftswelt mit sich - ob niedrigere Kosten, neueste Sicherheitsstandards und regelmäßige Updates, elastische und skalierbare Ressourcen oder daraus resultierende Wettbewerbsvorteile. Viele Unternehmen nutzen diese Chancen bereits für sich, andere wiederum schrecken noch davor zurück. Nun gilt es, Risiken und Bedenken zu betrachten und aufzuklären.
Da es sich bei Cloud Computing Systemen grundsätzlich um komplex verteilte Systeme handelt, kann einerseits von den allgemeinen Risiken ausgegangen werden, denen auch ein klassisches IT-System ausgesetzt ist. Dazu zählen unter anderem versehentlich oder vorsätzlich falsches Handeln - beispielsweise durch unberechtigte Kopien von Daten, Änderungen an Konfigurationseinstellungen oder Löschung von Daten durch Mitarbeiter oder Subunternehmer des Cloud-Service-Anbieters – oder Missbrauch der Plattform des Anbieters durch Brute-Force-Angriffe auf Passwörter oder Schadsoftware. Auch die Nutzung von Sicherheitslücken auf den Übertragungswegen, beispielsweise durch Abhören des Datenverkehrs, ist ein allgemeines Risiko von klassischen IT-Systemen und somit auch von Cloud Computing.
Andererseits müssen vor allem Cloud-spezifische Risiken betrachtet werden, welche aus den Gegebenheiten des Cloud Computing resultieren. Denn hier liegen die meisten Bedenken.
Laut Statista gaben bei einer Umfrage im Jahr 2021 64 Prozent der Befragten an, dass Datenverlust oder Datenlecks ihre größte Sorge hinsichtlich der Cloud-Sicherheit sei. Um den Datenschutz sorgten sich 62 Prozent der Befragten. Offensichtlich ist also, dass vielen (potenziellen) Nutzern des Cloud Computing die Thematik Datensicherheit und Datenschutz Sorgen und Bedenken bereitet.
Und in der Tat stellen fehlende Transparenz hinsichtlich der Datenhaltung sowie mangelhafte Kontrollmöglichkeiten und Vervielfältigung und Verteilung der Daten Cloud-spezifische Risiken dar. Da die physische Datenhaltung in der Hand des Providers liegt, ist diese in der Regel für den Nutzer nicht prüfbar. Eine erfolgreiche vollständige Speicherung oder ordnungsgemäße Löschung von Daten durch den Provider kann beispielsweise nur schwer kontrolliert werden. Ebenso ist für den Anwender meist nicht ersichtlich, an welchem Ort die Daten verarbeitet werden - es besteht auch die Möglichkeit, dass dies verteilt erfolgt, wenn ein Cloud-Anbieter Teile seiner Ressourcen selbst extern bezieht. Entsprechende Protokolle und Dokumentationen liegen im Hoheitsgebiet des Anbieters, dennoch kann eine explizite Kontrollmöglichkeit des Anwenders vorgesehen sein. Um diese Risiken zu minimieren, empfiehlt es sich, herauszufinden und nachzufragen, ob der Cloud-Dienstanbieter über sichere Identitätsauthentifizierung, -verwaltung und Zugriffskontrollen verfügt und welche Sicherheit gegen welche Faktoren geboten wird.
Ebenso existiert ein erhöhtes Risiko für die Verfügbarkeit von Diensten. Zahlreiche Dienste greifen beim Cloud Computing ineinander, sodass es bei Änderungen an einer Schnittstelle zu Beeinträchtigungen der Funktionsfähigkeit der darauf aufbauenden Dienste kommen kann. Dieses Risiko besteht ebenso beim Ausfall oder Wegfall von Diensten. Daher ist es notwendig, bei Einstellung oder Kündigung eines Dienstes, schnell einen gleichwertigen Ersatz zu finden. Beachtet werden sollten dabei stets die oft recht kurzen Kündigungsfristen.
Ein weiteres Risiko besteht in der Komplexität der IT-Landschaft, welche mit dem Einsatz von Cloud Computing steigt. Dies hat zur Folge, dass ein weitaus komplexeres IT-Sicherheitsmanagement notwendig und für einen sicheren Gebrauch unabdingbar ist. Bisher vernachlässigte Aspekte sollten aufgedeckt und bedacht werden.
Auch die Abhängigkeit vom Cloud-Anbieter und der Wissens-Verlust, welche beim Outsourcing unweigerlich entstehen, sind als Risiken zu betrachten. Nutzer sind auf die Expertise und Zuverlässigkeit des Anbieters angewiesen. Zwar ist der Anbieter für nicht erbrachte, vereinbarte Leistungen oder mangelhaften Daten-Umgang verantwortlich, jedoch hat dies stets Auswirkungen auf den Nutzer. Nicht zu vernachlässigen ist auch das Risiko eines sogenannten "Vendor-Lock-in“. Dies bezeichnet ein Verhältnis, bei dem Kunden derart von den Produkten oder Dienstleistungen eines Anbieters abhängig sind, dass der Wechsel zu einem Mitbewerber mit hohem Aufwand und hohen Kosten verbunden wäre und deshalb in der Regel unterbleibt.
Weiterhin gaben in der Umfrage von Statista 44 Prozent der Befragten an, dass Compliance-Risiken eine weitere Sorge hinsichtlich Cloud Computing-Sicherheit seien. Dabei ist es wichtig zu wissen, dass die Compliance-Regeln aufgrund der zunehmenden Cyberangriffe und Datenschutzprobleme immer strenger werden. Aufsichtsbehörden wie HIPAA und DSGVO stellen sicher, dass Unternehmen die geltenden staatlichen oder bundesstaatlichen Regeln und Vorschriften einhalten. Empfehlenswert ist es, Cloud Computing Anbieter zu wählen, welche den in dem entsprechenden Bundesstaat oder Land geltenden Standards entsprechen. Viele Anbieter können sogar zertifizierte Compliance anbieten.
Trotz der aufgezählten Risiken ist Cloud Computing nicht nur ein vorübergehender IT-Trend, sondern wird als eine der treibenden Kräfte der Digitalisierung zukunftsgestaltend sein. Um diese Technologie und deren Chancen optimal nutzen zu können, sollten mögliche Risiken und daraus resultierende Herausforderungen bedacht und minimiert werden.
Quellen: www.pwc.ch, www.agile-unternehmen.de, www.compliance-net.de, www.statista.de