Datensicherheit: Risiken beim Gang in die Cloud
Marc Ph. Prinz
Marc Ph. Prinz, LL.M., ist Leiter des Arbeitsrechtsteams der Kanzlei VISCHER. Er verfügt über langjährige Praxiserfahrung in allen Fragen des Arbeitsrechts. Er berät Arbeitgeber und Kader und vertritt diese in Gerichtsprozessen, insbesondere im Bereich Vergütung und Bonus.
Passende Arbeitshilfen
Beispiele für Risiken, die mit in der Cloud gespeicherten Daten verbunden sind
Nehmen wir das Beispiel eines Amateursportlers, der Daten über sein Training mithilfe eines digitalen Registers sammelt, das in einer App gespeichert und zugänglich ist, die durch eine webbasierte Lösung ergänzt wird. Zahlreiche Angebote ermöglichen tatsächlich eine Überwachung der sportlichen Aktivitäten, sei es für Laufen, Rennradfahren, Schwimmen usw., oft zu einem attraktiven Preis-Leistungs-Verhältnis.
Nehmen wir nun an, dass das Unternehmen, welches dieses Geschäftsmodell entwickelt hat, von einem internationalen Konzern abgekauft wird. Nach dieser Übernahme wird vom Anbieter der IT-Lösung einseitig eine Änderung der Geschäftsstrategie beschlossen, indem er sich nur noch auf eine Sportart und eine mobile Anwendung konzentriert, anstatt eine Multisportplattform zu betreiben. Infolgedessen wird die Wartung der Module für die anderen Sportarten eingestellt und die webbasierte Lösung abgeschaltet, und das alles innerhalb kürzester Zeit. Das bedeutet im Wesentlichen, dass ein Grossteil der gesammelten Daten nicht mehr verfügbar oder zugänglich ist, es sei denn, man hätte sie in eine .CSV-Datei (Comma-Separated Values) exportieren können, aber auch dann müsste man diese Daten in einer neuen Anwendung wiederverwenden können.
Dieses Beispiel zeigt, dass die Nutzer von Cloud-Lösungen von den Anbietern dieser Plattformen sehr abhängig sein können. Der Wert der betroffenen Daten ist in diesem Fall begrenzt, aber was passiert, wenn ein ähnliches Szenario mit Unternehmensdaten eintritt, die für das Überleben des Unternehmens entscheidend sind?
Festlegung des Werts von Unternehmensdaten
Im schlimmsten Fall kann die Nutzung der Cloud zu einem plötzlichen Verlust des Zugriffs auf Unternehmensdaten führen. Die Konsequenzen eines solchen Totalverlusts können sehr weitreichend sein: Verkaufschancen, Vertragsdaten, offene Aufträge und Rechnungen, Supporttickets, erbrachte Leistungen, etc. Bestenfalls können diese Daten in eine Datei im .CSV-Format exportiert werden, aber auch dann muss man eine Software besitzen, um sie in diesem Format lesen zu können.
Auf dieser Grundlage lässt sich schnell feststellen, dass man nicht unbedingt Daten Dritter im Zusammenhang mit der eigenen Geschäftstätigkeit verarbeiten oder in diesem Bereich aktiv sein muss, um bei der Nutzung einer Cloud-Lösung gefährdet zu sein. Es ist in diesem Zusammenhang wichtig, feststellen zu können, was die Anbieter von Cloud-Lösungen mit den ihnen anvertrauten Unternehmensdaten zu tun gedenken. Dies ist eine wichtige Frage, die leider oft vernachlässigt wird. Für das Unternehmen haben diese Daten einen erheblichen Wert, der nicht unterschätzt werden sollte.
Wie lange kann mein Unternehmen ohne seine Daten überleben?
Im Falle eines Zugriffsverlusts kann selbst ein Export der Daten später schwer zu verwenden sein. Um die Schwierigkeiten in diesem Zusammengang zu erkennen, empfiehlt es sich, einen Testexport der Daten im .CVS-Format durchzuführen (dies ist bei den meisten Cloud-Plattformen generell möglich und die Datei kann dann in der Excel-Anwendung geöffnet werden). Schon bei ein paar einigen Tausend Einträge in den verschiedenen Tabellen wird klar, dass die Verarbeitung dieser Daten kompliziert und zeitaufwendig werden kann, vor allem die vom Programm der Cloud-Lösung angewandte Logik nicht mehr verfügbar ist.
In diesem Fall könnte man in Betracht ziehen, diese Daten wieder in eine neue Software zu importieren. Es besteht jedoch das Risiko, dass einige nützliche oder notwendige Daten verloren gehen. Ein Wechsel des Anbieters ist ebenfalls mit einem erheblichen Zeitaufwand verbunden: Bewertung der neuen Lösung, Analyse der Daten, potenzielle Erstellung eines Migrationsskript., Überprüfung der Migration etc. Diese Schritte können je nach Menge der betroffenen Daten viel Zeit in Anspruch nehmen. Es ist wichtig, sicherzustellen, dass die Daten korrekt migriert werden. Es kann nämlich sein, dass bei der Migration bestimmte Änderungen an Daten auftreten, zum Beispiel indem Daten bestimmter Kundengruppen vertauscht oder dass Rabatte nicht mehr korrekt zugeordnet werden. Die in diesem Zusammenhang erforderlichen Fristen können daher recht lang sein, bevor das Unternehmen seine Tätigkeit mehr oder weniger wie gewohnt wiederaufnehmen und die Kundenwünsche erfüllen kann.
Im Fall einer Bank beträgt die Überlebensdauer des Unternehmens bei Verlust des vollständigen Datenzugriffs sicherlich nur einige Tage oder sogar Stunden. Andererseits sind die IT-Systeme dieser Art von Unternehmen in der Regel sehr gut kalibriert und überwacht, sodass die Wahrscheinlichkeit eines Totalausfalls wesentlich geringer ist. Dieses Risiko ist für die meisten KMU wesentlich höher, so dass man sich im Falle des Eintretens dieses Risikos Fragen stellen muss, wie z. B. die Höhe der erforderlichen Liquidität, um eine Unterbrechung des Rechnungsstellungsprozesses zu überbrücken, oder die Wahrscheinlichkeit, dass der Zugriff auf wichtige Unternehmensdaten nicht mehr möglich ist.
Passende Produkt-Empfehlungen
Tipp: Einen Risikomanagementprozess anwenden
Bei der Umstellung auf eine Cloud-Lösung wird dringend empfohlen einem klassischen Risikomanagementprozess zu folgen:
- Risiken identifizieren
- Risiken bewerten
- Massnahmen definieren und umsetzen
Risiken gibt es bei Cloud-Lösungen unter anderem im Bereich Datenschutz und Datensicherheit. Bei der Datensicherheit, die im Wesentlichen das Ziel verfolgt, Daten technisch gegen Verlust, Veränderung oder andere Bedrohungen zu sichern, ist auch das kommerzielle Ausfallrisiko des Anbieters mitzuberücksichtigen.
Bei der Bewertung der Risiken ist in erster Linie die Frage zu beantworten, wie hoch die Eintrittswahrscheinlichkeit des Risikos ist und danach die Schwere der Auswirkungen im Falle des Eintritts des Risikos. Auch bei einer sehr geringer Eintrittswahrscheinlichkeit erfordern einige Risiken, deren Folgen für das Unternehmen schwerwiegend sein könnten, besondere Aufmerksamkeit.
Massnahmen sollen wo möglich die Eintrittswahrscheinlichkeit des betreffenden Risikos verkleinern, was nur oft begrenzt möglich ist. Zum Beispiel sind regelmässige, automatisch durchgeführte Exports, idealerweise in einer Strukturierung (z.B. als Datenbank), und ein organisatorischer Plan, wie im Falle eines Verlusts des Datenzugriffs zu verfahren ist, nützliche Massnahmen, um die Eintrittswahrscheinlichkeit und die Auswirkungen eines Verlustes des Zugriffs auf Unternehmensdaten zu verringern.
Risikomanagement: ein unverzichtbares Instrument bei der Umstellung auf die Cloud
Es ist wichtig zu betonen, dass dieser Artikel nicht darauf abzielt, Unternehmen von der Einführung von Cloud-Lösungen für ihre Geschäftstätigkeit abzuhalten, da diese eine Vielzahl von Vorteilen bieten und sich langfristig durchsetzen werden. Vielmehr soll daran erinnert werden, dass ein gutes und angemessenes Risikomanagement bei Cloud-Lösungen dazu beiträgt, das Auftreten von Risiken und deren Auswirkungen zu verringern. In diesem Zusammenhang ist es wichtig, sich die richtigen Fragen zu stellen, einschliesslich der Frage, was passieren würde, wenn der Anbieter der Cloud-Lösung Konkurs anmelden müsste oder die Lösung aus anderen Gründen für längere Zeit ausfallen würde. Einen Plan für solche Situationen zu haben und umzusetzen, kann für das Überleben eines Unternehmens, unabhängig von seiner Grösse, entscheidend sein. Dabei ist insbesondere zu berücksichtigen, dass das Risikomanagement und der strategische Umgang mit IT-Fragen nicht (vollständig) ausgelagert werden können und dass viele Risiken zwar begrenzt, aber nicht vollständig ausgeschlossen werden können.
