28. Mär. 2013

Versteckte Kosten beim Cloud-Computing


Cloud-Computing lohnt sich für die Wirtschaft meist nicht, weil der notwendige Aufwand zur Identifizierung der solcherart speicherbaren Daten höher ist als die Kostenersparnis durch die Auslagerung auf einen externen Dienstleister. Diese Auffassung vertritt zumindest die NIFIS – Nationale Initiative für Informations- und Internet-Sicherheit e. V.
 
Jedes Unternehmen müsse genau und regelmäßig prüfen, welche Daten cloudfähig und welche so sensitiv sind, dass sie nicht in die Cloud gehören. Nach Einschätzung der NIFIS gibt es jedoch derzeit kein zuverlässiges automatisiertes Verfahren, um geeignete und ungeeignete Daten für die Cloud gemäß den Anforderungen der deutschen Datenschutzgesetze zu separieren – sobald man den manuellen Bearbeitungsaufwand einkalkuliert, lohne sich Cloud-Computing aber in der Regel nicht mehr. Der NIFIS-Vorstand verweist hier auch auf die Schwierigkeiten, die praktisch alle Firmen heute schon hätten, um bei der gesetzlich vorgeschriebenen E-Mail-Archivierung zwischen geschäftskritischen (z. B. handelsrechtlich oder steuerrechtlich relevanten Daten), unwichtigen und privaten E-Mails zu unterscheiden. Und die für gesetzestreues Cloud-Computing erforderliche Klassifizierung sei noch schwieriger.
 
Eine Erklärung des Cloud-Anbieters, dass die Datenzentren in Europa stünden und somit den Datenschutzrichtlinien der Europäischen Union genügten, hebt die Notwendigkeit zur Klassifizierung meistens nicht auf, betont der NIFIS-Vorstand. Bei US-Anbietern oder Anbietern, die in den USA "substantial Businesses" betreiben, sei besondere Vorsicht geboten, weil sich die US-Regierung bei solchen Firmen selbst dann den Zugriff auf die Server erlaubt, wenn diese im Ausland stehen (vgl.<kes> 2012#5, S. 58). Zudem weist NIFIS-Vorstand Mathias Gärtner auf die Gefahr des Cloud-Ausfalls aus technischen oder rechtlichen Gründen hin – als Beispiel nennt er den von den Behörden geschlossenen Anbieter MegaUpload: "Viele Unternehmen hatten Firmendaten auf MegaUpload ausgelagert. Nach der Beschlagnahmung des Dienstes waren diese Daten schlichtweg nicht mehr verfügbar. Im Zweifel haftet jedoch stets der Vorstand oder Geschäftsführer des Unternehmens, das seine Daten egal-wohin auslagert", betont Gärtner. (www.nifis.de)