Aufrufe
vor 2 Wochen

Netzwoche 10/2019

40 Technology Focus

40 Technology Focus Multi-Cloud – und der Datenschutz? Multi-Cloud ist eine Folge der Bequemlichkeit. Man möchte im Alltag möglichst einfach arbeiten, die Vorteile einzelner Cloud-Lösungen möglichst gebündelt nutzen können. Die zentrale Frage bei einer Cloud lautet aber, inwiefern man dem Dienstleister, dem Outsourcingpartner vertrauen kann. DIE AUTORIN Ursula Uttinger Präsidentin des Datenschutz-Forums Schweiz Nachdem Cloud Computing heute in immer mehr Unternehmen Teil der IT-Infrastruktur ist, geht es nun einen Schritt weiter Richtung Multi-Cloud. In der Multi-Cloud können verschiedene Cloud-Dienste und -Plattformen parallel genutzt werden. Damit multiplizieren sich die Datenschutzherausforderungen, die bereits bei der Nutzung einer einzigen Cloud bestehen; dazu gehören Fragen wie: ·· Wo genau sind die Daten? ·· Wer hat Zugriff auf die Daten? ·· Wie werden die Daten gelöscht? ·· Wie ist die Datensicherheit gelöst? ·· Wie kann eine Kontrolle umgesetzt werden? Bild: akindo / iStock.com Die zentrale Frage bei einer Cloud ist, inwiefern man dem Dienstleister, dem Outsourcingpartner vertrauen kann. Egal ob Cloud oder Multi-Cloud, ein Dritter wird mit einer Datenbearbeitung betraut. Im Sinne des Datenschutzgesetzes ist Bearbeiten «jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten» (Art. 3 lit. e Bundesgesetz über den Datenschutz, SR 235.1). Wird die Datenbearbeitung einem Dritten übergeben, bleibt der Auftraggeber verantwortlich und muss sich insbesondere vergewissern, dass die Datensicherheit eingehalten wird. Je mehr Beteiligte, umso schwieriger Bei Multi-Cloud ist ein weiterer Partner beteiligt. Je mehr Beteiligte, umso zentraler sind die Verantwortlichkeiten und Dienste zu regeln. In den meisten Fällen sind die Allgemeinen Geschäftsbedingungen seitens Anbieter definiert. Wenn möglich sollten die Nutzungsbestimmungen gemeinsam definiert und genau geregelt werden. Insbesondere die Löschung von Daten wird noch komplexer. Es muss sichergestellt sein, dass Daten tatsächlich auf allen Systemen gelöscht sind und nicht noch irgendwo ein Backup mit diesen Daten besteht: Je mehr Beteiligte, umso schwieriger. Und bezüglich Datensicherheit müssen die einzelnen Systeme miteinander zusammen funktionieren und sich nicht behindern. In den seltensten Fällen dürften alle Cloud-Dienstleistungen aus einem Land kommen. So muss beachtet werden, dass es weltweit kein einheitliches Datenschutzniveau gibt. Länder, die gemäss eidgenössischem Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ein gleichwertiges Datenschutzniveau haben, befinden sich primär in Europa, und dann noch in vereinzelten Ländern wie Kanada, Argentinien, Uruguay, Israel und Neuseeland, Länder wie die USA oder Australien nur unter bestimmten Bedingungen. Darum ist es wichtig, dass man weiss, wo die Infrastruktur ist. Ein Grossteil der Cloud-Computing-Infrastruktur befindet sich in den USA. Insbesondere Facebook verlangt inzwischen, dass sich auch die USA an den Vorgaben der europäischen Datenschutzgrundverordnung ein Vorbild nehmen und ähnliche Regelungen erlassen. Solche fehlen aktuell noch; europäische Dienstleister sind folglich zu bevorzugen, sofern klar geregelt ist, dass sich ihre Infrastruktur nur in Ländern mit gleichwertigem Datenschutz befindet. Datenschutz ist nicht lästig, sondern Teil der Qualität Multi-Cloud ist eine Folge der Bequemlichkeit. Man möchte im Alltag möglichst einfach arbeiten, die Vorteile einzelner Cloud-Lösungen möglichst gebündelt nutzen können. Diese Bedürfnisse werden erkannt und Lösungen gesucht. Werden dabei die datenschutzrechtlichen Rahmenbedingungen – es sind immer dieselben, etwa Transparenz, Datensicherheit, Verhältnismässigkeit, Richtigkeit der Daten – im Vorfeld berücksichtigt, ist dies besser, als wenn Nutzende Schatten-IT- Lösungen finden und dabei grundlegende Vorgaben vernachlässigen. Entscheidend dabei: Datenschutz nicht als lästig, sondern als Teil der Qualität verstehen! 10 / 2019 www.netzwoche.ch © netzmedien ag

Technology Focus 41 Achtung vor falschen Versprechungen und Vorstellungen bei Multi-Cloud! Infrastrukturen und -Anwendungen an Cloud-Anbieter auszulagern, heisst nicht, dass in der Informatik Ressourcen gespart werden können. Die Sicherstellung eines reibungslosen Betriebs hat Veränderungen bei den Anforderungen an die IT zur Folge. Illustration: elenabs / iStock DER AUTOR Mattias Oswald Geschäftsführer iWay, www.iway.ch Seit dem über 20 Jahre zurückliegenden Durchbruch des Internets ist «Software aus der Steckdose» ein viel diskutiertes Thema. Salonfähig ist die Cloud und erst recht die Multi-Cloud erst in der jüngsten Vergangenheit geworden. Heute sind die Treiber die fortschreitende Digitalisierung der Geschäftsprozesse und die damit zusammenhängende Steigerung bei den Workloads. Denn die dafür benötigten Infrastrukturen sind in vielen Unternehmen schlichtweg nicht vorhanden. Marktforschern und Anbietern zufolge soll deshalb Multi-Cloud zum Standard werden. Falsche Vorstellungen Eine Multi-Cloud-Umgebung, also der Betrieb von Anwendungen und Storage in zwei oder mehr öffentlichen und privaten Clouds, bringt Unternehmen mit Sicherheit Vorteile. Das Betriebsmodell ermöglicht durch die Verteilung der Workloads auf mehrere Provider die gewünschte Skalierbarkeit und eliminiert die Abhängigkeit von einem einzigen Anbieter. Kleinere KMUs sind allerdings nicht in diese Kategorie einzuordnen. So benötigt beispielsweise das Kleingewerbe neben einem Exchange-Server für den E-Mail-Transport und die Zusammenarbeit in Teams durch eine zentrale Ablage von Dokumenten und anderen Informationen (Kalender, Aufgaben etc.) oftmals lediglich noch eine Lösung für den Austausch, die Synchronisation und Speicherung von Dokumenten bei einem Cloud-Storage-Anbieter und eine Branchenlösung. Diese lassen sich parallel betreiben – ein Modell, das bereits bei Internetprovidern zu günstigen Konditionen zu haben ist. Für den gehobenen Mittelstand und erst recht für Grossunternehmen heisst Multi-Cloud allerdings nicht, dass bei der IT Ressourcen eingespart werden können. Denn auch wenn die Anbieter quasi im Hintergrund laufend die Anwendungen mit Upgrades und Patches auf den neuesten Stand bringen, braucht es nach wie vor viel Fachwissen im Unternehmen. Gerade die Verteilung auf unterschiedliche Provider birgt nämlich so manche Tücken. So ist das Bauen und Installieren von skalierbaren Lösungen mit grösseren Herausforderungen verbunden. Denn dazu benötigt man mehrere Applikations-Container, die wiederum untereinander orchestriert werden wollen. Es braucht eine durchgängige Datenbank, die sich synchronisieren lässt und einen Load-Balancer, um die Lasten auf die unterschiedlichen Workloads zu verteilen. Konfiguriert werden müssen diese mit Deployment-Tools wie etwa Puppet, Chef oder Ansible, was wiederum die Notwendigkeit des entsprechenden Know-hows zur Folge hat. Je nach Grösse des Unternehmens werden auch spezielle Cloud-Management-Plattformen zur Systemintegration, für allgemeine Dienste, Service-, Ressourcen- und Finanzmanagement sowie für Governance und Sicherheit benötigt. Fazit Die komplette Auslagerung in öffentliche Clouds dürfte für das Gros der Unternehmen die Ausnahme bleiben. Sei es aus Compliance-Gründen oder schlichtweg, weil man aus Sicherheitsüberlegungen nicht alle Daten ausser Haus geben will, werden zumindest in absehbarer Zukunft nach wie vor private Verbindungen und Betriebsmodelle getrennt vom Internet dazugehören. Hinzu kommt, dass bei Multi-Clouds eine durchgängige Back-up-Historie nur schwierig zu realisieren ist. Bei einem Defekt einer Speichereinheit auf verteilten virtuellen Maschinen kann es sein, dass man lediglich den letzten Stand vor dem Crash oder im schlimmsten Fall nur noch das Basis-Template zurückbekommt. Eigene Infrastrukturen und Datenbanken werden deshalb nicht einfach verschwinden. Und selbst wenn, müssen auch diese entweder von der internen IT oder einem Dienstleister verwaltet, orchestriert, durchgängig synchronisiert und von Programmierern customized werden. www.netzwoche.ch © netzmedien ag 10 / 2019

Archiv