Keine Verantwortung für Daten bei Cloud-Diensten?
Immer wieder müssen wir feststellen, das unsere Kunden gar nicht klar ist, wer für was bei der Nutzung von Cloud-Diensten/SaaS verantwortlich ist.
Uns erreichen immer wieder Anfragen bezüglich der Beratung und Umstellung von On-Premise Servern hin zu Cloud-Diensten. Viele Kunden führen die Umstellung mit dem Argument an, die Cloud wäre wesentlich günstiger und man könne alle Verpflichtungen auf einen Dienstleister verlagern.
Es gibt konstellationen, bei denen die Verlagerung in die Cloud tatsächlich Sinn macht. Sehr oft werden die Kalkulationen, sofern überhaupt eigene Kalkulationen durchgeführt werden, jedoch zu gunsten der Cloud durch zu niedrige Kosten im Vorfeld beschönigt. Auch werden Preissteigerungen und Abhängigkeit überhaupt nicht berücksichtigt.
Auch die Idee der Verlagerung der Verpflichtung für Datensicherheit, Datenbackups und Aufbewahrungsfristen sehen wir mehr als kritisch.
Unserer Auffassung nach, ist jeder Unternehmer weiterhin selbst für die Datensicherheit verantwortlich. Zum einen alleine schon aus rechtlicher Sicht, wenn es um Aufbewahrungsfristen geht, zum anderen aber auch aus Unternehmerischer Sicht, wenn es um die Sicherung der kritischen und unternehmensnotwendigen Daten geht.
Es wird zum Beispiel die Finanzverwaltung im Zweifel nicht interessieren, ob der eigene Server On-Premise mit der Buchhaltung der letzten 10 Jahre kaputt gegangen ist, oder ober der Cloud-Anbieter die Daten verloren hat aufgrund von Insolvenz, Hacking oder ähnlichem.
Die Verträge mit Cloud-Anbietern sollte man sich auch sehr genau durchlesen und auch überlegen, was bedeutet es für mich und mein Unternehmen, wenn die Daten weg sind?
Haftungsansprüche sind auf der einen Seite ja ganz nett, aber praktisch werden die gar nicht mehr durchsetzbar sein, wenn der Cloud-Anbieter Daten aller Kunden verliert und danach nicht mehr existiert. Gehen unternehmensnotwendige Daten unwiederuflich verloren, bedeutet das meistens auch das eigene aus.
Am Bsp. von Microsoft Office 365 möchten wir aufzeigen, wer wofür die Verantwortung trägt. Vor allem hier hören wir immer wieder von Kunden: "Aber Microsoft macht doch für mich die Backups und stellt meine Daten wieder her".
Was ist das Resume dieser Gegenüberstellung der Verantwortlichkeit?
Microsoft ist weder für die Erstellung von Backups verantwortlich, noch für die Einhaltung rechtlicher Aufbewahrungsfristen ihrer Kunden oder die Sicherheit der Zugangsdaten ihrer Kunden.
Welche Lösungen gibt es für Cloud-Dienste/SaaS?
Wir sind davon überzeugt, das ein Verantwortungsbewusster Unternehmer seine Unternehmensnotwendigen Daten trotz Cloud-Dienste/SaaS weiterhin selbst in einer geeigneten Form sichert und auch sicherstellt, das er auf seine Daten ohne Hilfe des Cloud-Dienstes/SaaS zugreiffen kann.
Wie wir das lösen, können Sie hier im Abschnitt Backup nachlesen: https://tech-support.koeln/cloud
Wir beobachten aber auch zunehmend, das Cloud-Anbieter eben keine lokale Backup Möglichkeit anbieten. Es wird technisch bewusst unmöglich oder schwierig gemacht, die eigenen Daten noch mal aus der Cloud heraus selbst zu sichern. Aus Sicht der Cloud-Anbieter ist das verständlich. Ein Wechsel des Anbieters wird erschwert und der Kunde kann meist nur mit extrem hohen Kosten seine Daten wieder exportieren. Dadurch wird eine langfristige Abhängigkeit geschaffen und als Kunde ist man dann auch geneigt, sämtliche Preissteigerungen hinzunehmen.
Zusätzlich muss man auf Zertifizierungen und Versprechungen vertrauen. Wie und ob Datensicherung wirklich existieren, kann man als Kunde ganz einfach nicht prüfen.
Wie gehen wir damit um?
Wir empfehlen immer eine Abwägung und Risikoanalyse für jeden einzelnen Cloud-Dienst/SaaS bzw. Anwendungsfall vorzunehmen. Nicht alle Daten sind automatisch kritisch und Lebensnotwendig für ein Unternehmen. Für eher unkritische Daten kann ein Cloud-Dienst ohne lokale Sicherungsmöglichkeit durchaus betriebswirtschaftlich Sinn machen. Für wiederum Betriebsnotwendige Daten ist es sinnvoller, auf Cloud-Dienste/SaaS mit lokalen Sicherungsmöglichkeiten zu setzen oder diese On-Premise oder auf eigenen Servern im Rechenzentrum zu betreiben.