1. Was genau passiert mit den Daten? Eine allgemeine Verständnisfrage, die nichtsdestotrotz von entscheidender Bedeutung ist. Man sollte sich vom Provider so exakt wie möglich erläutern lassen, wie Datentransfer und -lagerung ablaufen und wo genau die Daten deponiert werden, um im Bilde zu sein und die Sachlage beurteilen zu können. Aber auch, um selbst flankierende Maßnahmen zur Datensicherheit einleiten zu können. Analysten weisen in jüngster Zeit immer wieder darauf hin, dass viele Unternehmen blind darauf vertrauen, dass ihr Provider schon für adäquate Security sorgen wird. Es empfiehlt sich indes, selbst immer aktiv am Ball zu bleiben.
Notfallpläne des Providers prüfen
2. Was geschieht bei einem Ausfall? Selbstverständlich lautet der Anspruch beim Cloud Computing, dass alle Services immer verfügbar sind. Aber die Erfahrung lehrt, dass es dafür wie so oft im Leben keine Garantie gibt. Ausfälle kommen vor – nicht oft, aber ein Restrisiko besteht. Dieses gilt es, umfassend abzuklopfen. So sollte man sich nach der Robustheit der Cloud-Umgebung erkundigen. Das beinhaltet zum Beispiel die Frage, ob das Rechenzentrum womöglich in einem Gebiet liegt, in dem Naturkatastrophen drohen. Eine genaue technische Prüfung ist ratsam. Man sollte sich ebenso über die Notfallpläne erkundigen, womöglich sogar durch einen Ortsbesuch mit Audit.
„Nur weil der Anbieter über einen Notfallplan verfügt, bedeutet das nicht, dass dieser auch funktioniert“, warnt indes Cloud-Experte René Büst auf seinem Portal Clouduser.de. Es könne sinnvoll sein, sich die Ergebnisse der letzten Tests zeigen zu lassen und diese Option vertraglich zu verankern. Büst weist auch auf die Möglichkeiten hin, bei den Service Level Agreements (SLAs) – in der Regel gegen Aufpreis – ein höheres Anspruchsniveau zu verhandeln und eventuell eine Vorzugsbehandlung für den Fall der Fälle auszuhandeln.
3. Wie aktiv werden Sicherheitsfragen angegangen? Man sollte herausfinden, ob es beim Provider wirklich ein aktives Team gibt, das sich um Security kümmert. Hier reicht es nicht aus, sich über formale Qualifikationen zu unterrichten. Besser sucht man das Gespräch mit den Experten des Providers und gewinnt so einen Eindruck von vorhandenen Erfahrungen und Kenntnissen.
4. Gibt es einen Prozess für Vorfälle? Sicherzustellen ist, dass der Provider proaktiv nach Schwächen und Sicherheitslücken auf seiner Plattform sucht. Bestehen sollte man auf aktivem Monitoring sowie auf Support und Information, sobald Probleme auftreten. Einzufordern sind in diesem Zusammenhang monatliche Berichte, regelmäßiger Informationsfluss oder sogar Meetings, um Probleme und Handlungsbedarf zu erörtern.
5. Wie ist es um die Due Diligence bestellt? „Neben den technischen Prüfungen ist es ebenfalls interessant zu wissen, wie der Anbieter zum Beispiel auf der finanziellen Seite aufgestellt ist, um seine eigenen Rechnungen zu bezahlen“, lautet ein weiterer Tipp von Cloud-Experte Büst. Denn was nütze eine sehr robuste Infrastruktur, wenn der Anbieter auf Grund einer Insolvenz plötzlich nicht mehr erreichbar ist?