Cloud Computing

veröffentlicht am 24.02.2022

Im Zuge der Digitalisierung wird es für Unternehmen zunehmend attraktiver, betriebliche Prozesse und Funktionen auszulagern. Cloud-Computing bietet die Möglichkeit, ununterbrochen, ortsunabhängig und bequem auf die unternehmenseigene IT-Infrastruktur zurückzugreifen. In diesem Artikel erfahren Sie, welche Vor- und Nachteile die Nutzung von Cloud-Diensten mit sich bringt und was Sie bei der Entscheidung zur Umsetzung beachten müssen.

Vor- und Nachteile, zu beantwortende Fragen

„If someone asks me what cloud computing is, I try not to get bogged down with definitions. I tell them that, simply put, cloud computing is a better way to run your business”

– Marc Benioff, Founder, CEO and Chairman of Salesforce.

Wie das Zitat von Benioff sehr passend beschreibt, ist die Cloud mittlerweile wichtiger Bestandteil vieler Unternehmen. Beim Cloud-Computing wird ein On-Premise, also ein unternehmenseigenes Betriebsmodell durch einen Dienstleister ausgelagert, der dieses dann über externe Server, der sogenannten Cloud, laufen lässt. Doch bietet dieses Betriebsmodell wirklich eine Verbesserung des betrieblichen Alltags? Offensichtliche Vorteile sind, dass Kosten für eigene Server bzw. Hard- und Software entfallen, Updates sowie Weiterentwicklungen oft inklusive sind, die Sicherheit der Daten und Erstellung von Backups werden von dem Provider gewährleistet. Zusammenfassend verringern sich die Kosten für IT-Personal im Vergleich zum Eigenbetrieb und es wird eine höhere Kompatibilität durch Schnittstellen des Cloud-Services sowie eine Skalierbarkeit durch einfaches und schnelles Weg- und Hinzubuchen von IT-Leistungen geboten.

Dem gegenüber stehen einige Nachteile. Je nach Anbieter kann es einen geringeren Funktionsumfang geben, es wird häufig mit Standardsoftware und -systemen gearbeitet, also fehlt die Personalisierung und die Option, die IT-Leistungen auf die eigene, ggf. sehr spezielle Situation anzupassen. Es fallen monatliche oder jährliche Kosten an und es gibt keine uneingeschränkte Kontrolle über die eigenen Daten, die auf den Systemen des Cloud-Dienstleisters gespeichert werden. Hier ist auch, neben der Sicherheit der Informationen, die datenschutzrechtliche Zulässigkeit der Speicherung von sensiblen und kritischen Daten in der Cloud zu bewerten, auf die wir nachfolgend eingehen. Ggf. müssen zur Einhaltung der gesetzlichen Vorgaben derartige Daten besonders geschützt werden, z.B. durch deren Verschlüsselung.

Wer also den Aufwand für den IT-Betrieb überschaubar halten will und mit geringen Personalisierungsmöglichkeiten auskommt, für den kann Cloud-Computing eine gute Lösung darstellen. Doch wirft die Cloud einige datenschutzrechtliche Fragen auf:

Was tun bei Datenverlust oder Datenmanipulation?
Sind meine Daten vor Zugriffen seitens des Cloud-Anbieters, Dritter oder staatliche Institutionen – Herausgabe auf Verlangen – geschützt?
Kann es zu Identitätsdiebstahl und unautorisierten Zugriff auf „meine” gebuchten IT-Systeme und Daten kommen?
Was mache ich, wenn der Cloud-Dienst vorübergehend nicht verfügbar ist und welche Risiken sind damit für mein Geschäft, insbesondere für meine Wertschöpfungsprozesse, verbunden?

So viel sei gesagt: Die Fragen lassen sich nicht vollends pauschal beantworten. Es wird bei jeder der datenschutzrechtlichen Fragen ein Restrisiko bleiben. Jene können jedoch bei der Auswahl des richtigen Anbieters minimiert werden. Beispielsweise sind Sie vor Datenverlust am besten geschützt, wenn Sie einen etablierten, großen, namhaften Anbieter wählen. Haben Sie sehr sensible Daten und wollen diese bestmöglich vor dem Zugriff Dritter schützen, ist es empfehlenswert einen Anbieter zu wählen, der seine Systeme und Leistungen in Deutschland bzw. Europa betreibt und anbietet. Hier empfehlen wir einen Blick in die Compliance Unterlagen des Anbieters und Prüfung des Vertrags.

Cloud Betriebsmodelle

Wurde ein passender Anbieter für das Cloud-Betriebssystem ausgewählt, muss sich für ein Dienstmodell entschieden werden. Es gibt drei gängige Modelle, die einen Cloud-Service zur Verfügung zu stellen.

IaaS bedeutet „Infrastructure as a Service” und ist das Eingeschränkteste. Es werden grundsätzliche IT-Ressourcen wie Rechenleistung, Storage, Netzwerkkapazität, Anwender Kontrolle über Betriebssystem und Anwendungen von dem Anbieter zur Verfügung gestellt. Die Infrastruktur muss selbst aus Recheninstanzen und Speicher zusammengestellt werden.
Die zweite Möglichkeit ist Paas - „Platform as a Service”. Der Funktionsumfang wird deutlich erweitert. Es werden Programmiermodelle und Entwicklerwerkzeuge bereitgestellt. Provider Ressourcen sind beispielsweise die Rechenleistung, Speicher, Netzwerk Middleware wie Message Queuing oder Load Balancing und Datenbanken. Häufig sind diese nach den jeweiligen Anforderungen skalierbar.
Die oberste Schicht des Cloud-Computing stellt Saas - „Software as a Service” dar. Der Provider stellt hierbei alle Anwendungen bereit.
Eine weitere Sonderform ist das sogenannte Housing. In dem Fall stellt der Dienstleister den Rechenzentrumsstandort mit entsprechender Infrastruktur wie Gebäuden, Brandschutzanlagen, Klimatisierung und Zugangsschutz, Stromversorgung / USV zur Verfügung. Meist gibt es sogenannte abgeschlossene Käfige (Cages) für die Systeme jedes Kunden, um diese gegen unbefugten Zugang zu sichern.

Hilfreiche Standards

Bei Einführung der Cloud ist die Orientierung am Rechnungslegungsstandard IDW RS FAIT 3 hilfreich. Dieser konkretisiert Anforderungen, die bei der Auslagerung von rechnungslegungsrelevanten Prozessen und Funktionen einzuhalten sind. Hierbei gilt seit 2016 eine Anwendungspflicht. Der FAIT unterteilt das Vorgehen beim IT-Outsourcing in vier Phasen.

In der Vorbereitungsphase werden Verhandlungen über die Art, Umfang, Preis, vertragliche Ausgestaltung und Bedingungen für die Übernahme der Dienstleistungen durchgeführt.
Anschließend folgt die Aufbauphase, in der das auslagernde und das Dienstleistungsunternehmen organisatorische und technische Voraussetzungen schaffen.
Die folgende Nutzungsphase kann in planmäßige und Nutzungsbeendigungsphase untergliedert werden. In der planmäßigen Nutzungsphase wird das rechnungslegungsbezogene interne Kontrollsystem beim Dienstleistungsunternehmen sowie im Zusammenspiel mit dem eigenen internen Kontrollsystem durch das auslagernde Unternehmen, überwacht.
In der Nutzungsbeendigungsphase werden Voraussetzungen für die Aufrechterhaltung der Ordnungsmäßigkeit und Sicherheit der Rechnungslegung auch nach Ende des Dienstleistungsverhältnisses sichergestellt.

Überblick zum Vorgehen

Nachfolgend haben wir die wichtigsten Punkte grafisch zusammengefasst, welche wir auch in unserem Vorgehensmodell zur Entscheidungsfindung zum Cloud-Computing, Klärung von Einzelfragen oder auch der Umsetzung unterstützen.

Cloud Strategie für Unternehmen

Zusammenfassend lohnt sich die Umstellung, sofern die o.g. Fragestellungen positiv geklärt sind, und ist die Transformation einmal gelungen, so bietet sie häufig ein angenehmes Arbeitsumfeld bei geringem Aufwand. Wenn Sie überlegen, Ihr Unternehmen auf ein Cloud-Betriebssystem umzustellen, aber derzeit nicht die Kapazitäten oder das Know-how besitzen, um die Transformation durchzuführen, bietet Ihnen Rödl & Partner die Möglichkeit, die Umstellung zur Cloud für Sie zu übernehmen.

Kontaktieren Sie uns gerne.

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *	**
Frage *	*

Datenschutzerklärung *

Ich stimme der Nutzung meiner personenbezogenen Daten im Rahmen der Datenschutzerklärung ausdrücklich zu.

*
Einwilligung

Ja, ich möchte von Rödl & Partner* per E-Mail über weitere Neuigkeiten und Veranstaltungen rund um das Thema Digital GRC informiert werden.

Ja, ich möchte von Rödl & Partner* per E-Mail außerdem darüber hinaus über Neuigkeiten und Veranstaltungen rund um die Themen Recht, Steuern und Wirtschaft informiert werden.

Helfen Sie uns, Spam zu bekämpfen.