127
Risiken durch den Cloud‐Anbieter
Eine Risikoeinschätzung hinsichtlich des Cloud‐Providers ist nur dann
möglich, wenn eine ausreichende Transparenz bei der Serviceerbringung
seitens des Anbieters gegeben ist. Selbst wenn ein regionales Softwarehaus
ausgesucht wird, das bisher eine für die jeweiligen Zwecke gut
funktionierende Softwarelösung als Lizenz angeboten hat und diese nun
auch als Mietsoftware zur Verfügung stellt, kann es sein, dass dabei
Infrastrukturdienste von außereuropäischen Anbietern eingesetzt werden
und damit indirekt rechtliche Unsicherheiten entstehen. Wichtig ist hierbei,
die gesamte IT‐Supply‐Chain zu betrachten.
Seitens ENISA (European Network and Information Security Agency) wurden
die folgenden Hauptrisiken aufgeführt:
unzureichende Service‐Level‐Garantien
Providerabhängigkeit
unzureichende Datenabgrenzung
Probleme bei der Einhaltung von Compliance‐Vorgaben
unzureichende Absicherung der Administrationsfunktionen
Datenschutzverletzungen
unzureichende Datenlöschung auf Kundenanforderung
Angriff von innen durch nicht vertrauenswürdige Personen
Als Empfehlung zur Minimierung des Risikos sollten daher mit dem Anbieter
folgende Bereiche geklärt werden:
Sind Schnittstellen und Datenexportfunktionen vorhanden?
Existieren vertragliche Regelungen von Kontrollfunktionen?
Werden die jeweiligen datenschutzrechtlichen Bestimmungen
eingehalten?
Erfolgt eine Benennung und Zusicherung der Datenlokationen?
Unter welchem anzuwendenden Recht wird der Service angeboten?