App in die GAIA-X Cloud

DSGVO-konforme Umstellung der IT-Systeme

DSGVO-konforme Umstellung der IT-Systeme
Rechtssicherer IT-Betrieb

Aktuell denken viele Unternehmen über die Nutzung von Cloud-Technologien nach, um den IT-Betrieb zu modernisieren und damit die Basis für die Digitalisierung der Prozesse sowie für neue digitale Innovationen zu schaffen. In diesem Beitrag geht es darum, Antworten darauf zu geben, wie Unternehmen ihren IT-Betrieb (rechts-) sicher in die Cloud umstellen können.

Die Nutzung von Cloud-Services bringt zahlreiche Vor- und Nachteile mit sich. Die wichtigsten Vorteile sind:

  • Skalierung, Performance und Flexibilität der IT
  • Moderne Technologien für eine digitale Zusammenarbeit und neue digitale Innovationen
  • Geringere Kosten durch Auslagerung von IT-Aufgaben

Jedoch gibt es auch mögliche negative Auswirkungen, die bei der Umstellung in die Cloud berücksichtigt werden sollten. Die häufigsten Bedenken sind:

  • Verletzung der rechtlichen Vorgaben – insbesondere Datenschutz
  • Abhängigkeit von einem Cloud-Anbieter
  • Ausfälle der kritischen IT-Systeme bzw. der Verbindung zur Cloud

Es gilt nun die Vorteile der Cloud effizient zu nutzen und mögliche Nachteile durch Gegenmaßnahmen zu reduzieren. Es geht darum, Antworten darauf zu geben, wie der IT-Betrieb sicher in die Cloud umgestellt werden kann:

  1. Wie halte ich kritische Daten unter eigener Kontrolle?
  2. Welches Cloud-Modell ist passend für meine Anforderungen?

Abschließend gibt es eine Hilfestellung für Entscheider in Unternehmen, als Handlungsempfehlung für den Weg in eine (rechts-) sichere Cloud.

1. Daten-Souveränität:
DSGVO-konform in die Cloud

Unternehmen und Organisationen sind häufig auf dem Weg in eine digitale Abhängigkeit, wenn sie die Digitalisierung vorantreiben möchten. Denn oft führt kein Weg an den Lösungen der großer Cloud-Anbieter vorbei, deren Hauptsitz in Rechtsräumen liegt, die nicht mit der DSGVO-konform sind. Das Problem dabei: Liegen geschäftskritische Anwendungen oder persönliche Daten in diesen Clouds, wirft dies auch datenschutzrechtliche Fragen auf. Außerdem besteht das Problem der Monopolisierung und es könnte Unternehmen perspektivisch in der Wahlfreiheit einschränken. Deshalb sind Vertrauen und Innovation zwei der zentralen Werte für die Auswahl des geeigneten Cloud-Anbieters und gleichzeitig bedeutende Eckpfeiler zur Bereitstellung einer sicheren Cloud-Lösung für die rechtskonforme Datenverarbeitung.

Aus diesem Grunde hat das Bundesministerium für Wirtschaft und Energie (BMWi) die Initiative „GAIA-X“ ins Leben gerufen. Das Ziel dabei ist, die Abhängigkeit von amerikanischen und chinesischen IT-Anbietern und deren Cloud-Plattformen, zu reduzieren. Mittlerweile ist das Projekt so erfolgreich angelaufen, dass es von mehreren europäischen Staaten und Unternehmen weltweit unterstützt wird. GAIA-X ermöglicht Anwendern perspektivisch den Zugang zu einem breiten, relevanten und spezialisierten Produkt- und Serviceportfolio von Cloud-Anbietern und somit die Nutzung passgenauer und rechtssicherer Lösungen. Jeder Anwender entscheidet auf Basis der eigenen Datenklassifizierung selbst, wo seine Daten gespeichert werden und von wem sowie zu welchem Zweck sie verarbeitet werden dürfen.

Unternehmen sollten deshalb darauf achten, Cloud-Anbieter in Betracht zu ziehen, die eine GAIA-X konforme Cloud-Infrastruktur bereitstellen. Neben der DSGVO-Konformität wird dadurch auch die Abhängigkeit vom Cloud-Anbieter vermieden. Es geht darum den sogenannten Vendor Lock-In (dt.: Schwierigkeit des Anbieterwechsels) zu vermeiden. Vendor Lock-In bedeutet, dass ein Kunde einen genutzten Service oder ein verwendetes Produkt nicht ohne erhöhten Aufwand durch eine gleichwertige Lösung eines anderen Anbieters austauschen kann. Das liegt meist an der Verwendung proprietärer Technologien, die inkompatibel mit denen von Wettbewerbern sind.

Anders als bei den US-amerikanischen oder chinesischen Hyperscalern wie Amazon, Microsoft, Google oder Alibaba, kann ein GAIA-X-konformer Cloud-Anbieter alle Bestimmungen der DSGVO nachweisbar einhalten und dem Anwender garantieren, dass keine Daten in Drittländer abgeführt werden. Das wird für Unternehmen ein zunehmend wichtiger Aspekt, da der Europäische Gerichtshof (EuGH) nach dem „Safe Harbor“- Abkommen auch die Nachfolgeversion des transatlantischen Datenschutzschildes mit dem „Privacy-Shield“ -Urteil (Schrems II) gekippt hat.

2. Das passende Cloud-Modell

Cloud-Modell
Cloud-Services im Überblick

Bei der Nutzung von eigenen Servern (OnPremise) besteht der höchste Verwaltungsaufwand. Aus diesem Grund gibt es Cloud-Modelle, mit denen Unternehmen die Verantwortung für Ihre IT auslagern können. Bei eigenen Servern und Speichersystemen in einem externen Rechenzentrum (CoLocation) müssen sich die Unternehmen nicht mehr um die passende räumliche Umgebung, sondern nur noch um die IT-Belange selbst kümmern, während bei Infrastructure as a Service (IaaS) virtuelle Server angemietet und damit nur die Daten und Applikationen selbst verwaltet werden müssen. Bei Platform as a Service (PaaS) kümmern sich die Unternehmen nur noch um die Ihre Applikation (z. B. Softwareentwicklung) und bei Software as a Service (SaaS) erhalten die Anwender eine Software, die Sie direkt nutzen können.

IaaS ist typischerweise der Einstieg in die Cloud. Man hat die Möglichkeit virtuelle Server anzumieten, die mit Netzwerkkomponenten sowie einer Firewall, einem Betriebssystem und Speicherlösungen ausgestattet werden können. Es liegt dann an den Unternehmen, den Server einzurichten und an eigene Bedürfnisse anzupassen. Im Vergleich zur Beschaffung von leistungsfähigen Hardware-Servern und deren Betrieb vor Ort (OnPremises) sind auch weitere Sicherheits- und Kosten- relevante Punkte bei der Auswahl geeigneter Cloud-Anbieter zu beachten:

  • geo-redundante Server-Cluster
  • einfache und schnelle Anpassung der Ressourcen: CPU, Speicher und Netzwerkkomponenten
  • Grundsicherung: mehrfach täglich, Snapshotsicherung
  • redundante Präzisions-Klimatisierung
  • modernste Löschgasanlage mit Brandfrüherkennung
  • redundante Stromversorgung (keine eigenen Stromkosten)
  • redundante Glasfaser-Hauseinspeisung und direkte Peerings (schnellste Internetknoten in Europa)
  • USV Absicherung und Notstromaggregat für IT-Verfügbarkeiten auch bei längeren (auch mehrtägigen) Stromausfällen
  • ISO 27001 zertifiziertes Informations-Management und ISO 9001
  • 24/7/365 Überwachung sowie Services und Support mit persönlichen Ansprechpartnern

PaaS ermöglicht es, Entwicklungszeiten deutlich zu beschleunigen und Komplexitäten im Bereich Serverbetrieb und Skalierung zu reduzieren und ist vor allem für Entwickler und Software-Unternehmen sinnvoll, die schnell und einfach neue Programme oder Apps erschaffen und veröffentlichen wollen. PaaS-Angebote bestehen unter anderem aus grundlegender Infrastruktur wie Servern, Betriebssystemen, Speicherplatz und Programmen, die mehrere Anwendungen untereinander verbinden können. Dazu kommen Ressourcen wie beispielsweise Entwicklungswerkzeuge, Programmiersprachen, Datenbankmanagement-Systeme und Container-Techniken. Will man für eine monolithische Anwendung PaaS-Lösungen nutzen, sollten diese zuerst in kleine Microservices unterteilt werden. Kritisch sollten besonders der Vendor Lock-In und die Datensicherheit betrachtet werden.
Eine echte Unabhängigkeit ist nur mit einem Cloud-Service möglich, der frei von Rechten Dritter ist. Somit sollten Cloud-Anbieter auch insbesondere auf Open-Source-Technologien setzen, wie beispielsweise Kubernetes zur Verwaltung von Services, die in Container ausgeliefert werden – und die bestenfalls auch GAIA-X-kompatibel sind.

SaaS wird in der Regel über das Internet bereitgestellt. So können Unternehmen von beliebigen Geräten und Standorten auf die Software zugreifen. Vergleichbar zu verbreiteten Consumer Apps (wie WhatsApp, Dropbox & Co.) sind in der Regel keine IT-Kenntnisse notwendig, wodurch das Unternehmen Aufwand spart. Nachteile sind die mangelnde Anpassbarkeit, weshalb sich SaaS insbesondere bei Standardanwendungen lohnt. Für die Nutzung und den Betrieb der Software zahlt das Unternehmen ein Nutzungsentgelt und den Unternehmen bleiben die Anschaffungs- und Betriebskosten teilweise erspart, da der Cloud-Anbieter die komplette IT-Administration und weitere Dienstleistungen wie Wartungsarbeiten und Softwareaktualisierungen übernimmt. Zu diesem Zweck wird die IT-Infrastruktur, einschließlich aller administrativen Aufgaben, ausgelagert, und das Unternehmen kann sich auf sein Kerngeschäft konzentrieren.

Handlungsempfehlung:
GAIA-X- konforme Multi-Cloud Lösungen

Eine GAIA-X Konformität schafft durch die Vernetzung beteiligter Cloud-Anbieter eine offene, standardisierte Plattform mit dokumentierten Betriebsprozessen, um so eine souveräne, föderierte und interoperable Cloud-Infrastruktur bereitzustellen. Die wirtschaftlichen Vorteile des Cloud Computing für den IT-Betrieb sind dabei nicht zu übersehen:

  • starke Reduktion der selbst noch vorzuhaltenden Infrastruktur;
  • Verringerung des Bedarfs an eigenem IT-Fachpersonal;
  • Vermeidung von Risiken der Über- und Unterkapazitäten;
  • bessere Übersichtlichkeit der Kosten für die Datenverarbeitung.

Das sind gute Gründe, eine Beauftragung von Cloud- Anbietern in Betracht zu ziehen. Unternehmen sollten dazu heute auf Cloud-Lösungen zurückgreifen, um den zunehmenden Bedarf an agilen, skalierbaren und kosteneffizienten IT-Lösungen zu befriedigen. In der Realität wird es jedoch nicht ein passendes Cloud-Modell geben – es wird vielmehr zu einer Vermischung der Ansätze kommen. Die Vorteile solcher Hybrid-Clouds sind zukunftssichere Investitionen für Unternehmen in Skalierbarkeit, Sicherheit und Flexibilität. Außerdem bietet ein paralleler Bezug der Cloud-Ressourcen bei mehreren Anbietern für gleiche oder unterschiedliche Anforderungen neue Möglichkeiten für den Wertbeitrag der IT, sofern sämtliche Cloud-Dienste über eine Verwaltungsschnittstelle orchestriert werden können. Solch eine Multi-Cloud ermöglicht die parallele Nutzung von Cloud-Diensten und Plattformen mehrerer Anbieter. Sie verhält sich aus Anwendersicht wie eine einzige große Cloud, in der mehrere Cloud-Modelle wie IaaS, PaaS und SaaS integriert sein können.

Daten-Ssouveränität
Multi-Cloud-Lösungen für digitale Innovationen

So kann eine Infrastructure as a Service (IaaS) beziehungsweise CoLocation eine günstige Grundversorgung (z.B. für vorhandene monolithische Anwendungen) sicherstellen. Bestimmte Anforderungen (z.B. für eine App-Entwicklung oder Standard-Software) können bei Bedarf kostengünstiger von PaaS oder SaaS Cloud-Anbietern bereitgestellt werden. Grundlage für eine reibungslose Multi-Cloud-Nutzung sind offene Standards (insbesondere Open Source), die eine einfache Nutzung der verschiedenen Infrastruktur-Services gewährleisten. Der Trend hin zur Multi-Cloud wird insbesondere deshalb befeuert, weil die unterschiedlichen Anbieter ihre individuellen Stärken und Schwächen haben und in den geografischen Regionen unterschiedlich stark vertreten sind. Die Anwenderunternehmen sind gut beraten eine Multi-Cloud-Strategie zu verfolgen, um die Bindung an einzelne Anbieter zu vermeiden und um zu gewährleisten, dass alle Daten und Informationen bei einem vertrauensvollen Cloud-Anbieter DSGVO-konform unter eigener Kontrolle bleiben.

Also kurz: Multi-Cloud-Computing hat das Potenzial, digitale Innovationen bei bestmöglicher Ressourcenauslastung zu ermöglichen, damit Kosten zu senken und durch rechtssichere Datenverarbeitung bei einem GAIA-X-konformen Cloud-Anbieter einen positiven Wertbeitrag der IT zu ermöglichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.