Sensible Daten in der Cloud – was es zu beachten gilt

Wer wie etwa Anwaltskanzleien, Gesundheitsdienstleister oder Finanzdienstleister sensible Daten verwaltet, will und muss diese in den eigenen Händen halten. Nur erfordert die Datensicherheit je länger desto mehr hard- und softwaretechnisches Fachwissen und erzeugt steigende Kosten. Ein Wechsel von On-Premise in die Cloud spart Aufwand, weil man nur bezahlt, was man auch tatsächlich nutzt, und sich nicht mehr mit teurem IT-Support selbst um Wartung und Updates kümmern muss. Die Cloud bringt aber auch Vorteile in Bezug auf Skalierbarkeit und damit Agilität, und sie erleichtert das "Remote Working" in der hybriden Arbeitswelt. Vor allem aber bringt die Cloud verbesserte Sicherheit. Viele Cloud-Anbieter bieten schon allein deshalb höchste Sicherheitsstandards, weil der reibungslose Cloud-Betrieb ihr Kerngeschäft ist, von dem ihr gesamter Erfolg abhängt. Aber Cloud ist nicht gleich Cloud. Und gerade mit Blick auf ausländische Anbieter sind die Wolken oft dunkelgrau statt rosarot.

Weshalb in eine Schweizer Cloud?

Namentlich mit dem US-amerikanischen Cloud Act (Clarifying Lawful Overseas Use of Data Act) erhalten ausländische Behörden in bestimmten Fällen nicht nur die Möglichkeit, sondern auch das Recht, auf Daten von Schweizer Unternehmen zuzugreifen, die auf Servern von ausländischen Anbietern oder deren Tochtergesellschaften in der Schweiz liegen. Für Schweizer Unternehmen mit strengen Compliance-Vorschriften sind deshalb solche Anbieter tabu. Einzig Cloud-Server von Schweizer Anbietern, die sich in der Schweiz befinden, kommen infrage. Nur diese können dem Kunden die Hoheit über seine eigenen und anvertrauten Daten versichern. Es kommt hinzu, dass die Regulierung weltweit zunimmt und künftige Anpassungen und deren Konsequenzen in anderen Ländern viel schwieriger zu monitoren und zu beurteilen sind als in der Schweiz.

Was ist bei der Wahl der Cloud zu beachten?

Für Unternehmen ist es auch bei der Wahl eines Schweizer Cloud-Providers unerlässlich, die Spreu vom Weizen zu trennen. Dazu muss man sorgfältig verschiedene Kriterien abwägen oder von einer versierten Vertrauensstelle prüfen lassen. Es gilt Grundsätzliches zu prüfen, wie etwa Verschlüsselung oder Zugangskontrollen wie User-Management, Authentifizierungsanforderungen und Zero-Trust-Modell. Hinzu kommt die Frage, ob ein Provider beratend zur Seite steht und im Support-Fall umgehend ein Mitarbeiter per Telefon oder nur ein Chatbot verfügbar ist. Sowohl der Kunde selbst wie auch der Cloud-Provider sollten weiter regelmässig ihre Mitarbeitenden schulen und für Gefahren sensibilisieren, sich unabhängigen Audits unterziehen und klare Prozesse zur Datensicherung und Wiederherstellung befolgen. Dies hilft gleichzeitig, sich für den Fall von (erfolgreichen) Cyberangriffen zu rüsten. Und selbstverständlich gehören gerade auch beim Cloud-Provider Kenntnisse über das Schweizer Datenschutzgesetz und den Auftragsverarbeitungsvertrag dazu.

Zusammengefasst verlangt ein Wechsel in die Cloud umfangreiche Abklärungen, die aber langfristig mit Kosteneinsparungen, Effizienzgewinnen und Sicherheitsvorteilen belohnt werden. Wichtig ist, dass die vom Kunden gestellten Anforderungen im Vertrag klar festgeschrieben sind.