Seite 127 - CLOUD Migration - Alles was Sie über die CLOUD wissen müssen

127 
Risiken durch den Cloud‐Anbieter 
Eine Risikoeinschätzung hinsichtlich des Cloud‐Providers ist nur dann 
möglich, wenn eine ausreichende Transparenz bei der Serviceerbringung 
seitens des Anbieters gegeben ist. Selbst wenn ein regionales Softwarehaus 
ausgesucht wird, das bisher eine für die jeweiligen Zwecke gut 
funktionierende Softwarelösung als Lizenz angeboten hat und diese nun 
auch als Mietsoftware zur Verfügung stellt, kann es sein, dass dabei 
Infrastrukturdienste von außereuropäischen Anbietern eingesetzt werden 
und damit indirekt rechtliche Unsicherheiten entstehen. Wichtig ist hierbei, 
die gesamte IT‐Supply‐Chain zu betrachten. 
Seitens ENISA (European Network and Information Security Agency) wurden 
die folgenden Hauptrisiken aufgeführt: 
unzureichende Service‐Level‐Garantien 
Providerabhängigkeit 
unzureichende Datenabgrenzung 
Probleme bei der Einhaltung von Compliance‐Vorgaben 
unzureichende Absicherung der Administrationsfunktionen 
Datenschutzverletzungen 
unzureichende Datenlöschung auf Kundenanforderung 
Angriff von innen durch nicht vertrauenswürdige Personen 
Als Empfehlung zur Minimierung des Risikos sollten daher mit dem Anbieter 
folgende Bereiche geklärt werden: 
Sind Schnittstellen und Datenexportfunktionen vorhanden? 
Existieren vertragliche Regelungen von Kontrollfunktionen? 
Werden die jeweiligen datenschutzrechtlichen Bestimmungen 
eingehalten? 
Erfolgt eine Benennung und Zusicherung der Datenlokationen? 
Unter welchem anzuwendenden Recht wird der Service angeboten?