Die Cloud aus deutschen Landen oder aus dem EU/EWR-Raum ist gegenwärtig eines der großen Themen für deutsche Cloud-Nutzer. Aus diesem Grund bieten internationale Cloud-Provider zunehmend auch Dienste aus deutschen Rechenzentren an. Jüngstes Beispiel dieses Trends ist seit gestern Microsoft, das ab Mitte 2016 für Cloud-Dienste Rechenzentren von T-Systems nutzt. Mit dem Ende des bisherigen Safe-Harbor-Prinzips richtet sich der Blick der Nutzer sogar noch stärker auf das „Herkunftsland“ von Cloud-Services.
Neu ist die Frage nach dem Standort eines Cloud-Services an sich nicht. Bereits im September 2011 wies die Konferenz der Datenschutzbeauftragten des Bundes und der Länder darauf hin, dass es transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, geben muss. Zudem gilt für Cloud Computing als Auftragsdatenverarbeitung, dass sich der Cloud-Nutzer davon überzeugen muss, dass der Cloud-Anbieter die Vertragspflichten rund um den Datenschutz auch einhält.
Trotz der hohen Relevanz des Cloud-Standortes und der rechtlichen Verpflichtung zur Transparenz und Kontrolle zum Standort der Cloud-Daten wissen viele Cloud-Nutzer nicht, wie sie ein mögliches Standort-Versprechen eines Cloud-Anbieters überprüfen können. Doch es gibt einige Möglichkeiten.
Cloud-Zertifikate „mit Herkunftsgarantie“
Die bei Auftragsdatenverarbeitung an sich vorgesehene Kontrolle der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen ist für einen Cloud-Nutzer in aller Regel kaum möglich, weder organisatorisch noch fachlich. Das gilt auch, wenn die Cloud-Dienste nicht so weit entfernt, innerhalb Deutschlands, erbracht werden.
Unabhängige, fachlich versierte Dritte jedoch können durchaus die Cloud-Dienste vor Ort prüfen. Entsprechende Cloud-Zertifikate können also auch Aussagen zum Verarbeitungsort der Cloud-Daten machen. Leider gibt es allerdings immer noch keine wirkliche Vergleichbarkeit bei der Cloud-Zertifizierung, so dass Cloud-Nutzer genau prüfen müssen, was ein Cloud-Zertifikat über den Standort der Datenverarbeitung sagt. Dabei ist es insbesondere wichtig, nicht nur auf die reguläre Datenverarbeitung zu achten, sondern auch auf Supportfälle, Wartungsarbeiten oder bei Lastspitzen (Cloud Bursting), die diese mitunter Cloud-Daten zu anderen Standorten führen könnten.
Unabhängiges Cloud-Logging und Cloud-Monitoring
Was der Cloud-Nutzer oder aber der Cloud-Administrator des Anwenderunternehmens durchaus selbst übernehmen kann, ist die gezielte Auswertung der Berichte aus der Cloud-Protokollierung. Die Berichte sollten Auskunft geben können über Datentransfers zwischen verschiedenen Speicher- und Verarbeitungsorten und über die Rechenzentren, wo sich der beauftragte Cloud-Storage befindet oder die Cloud-App läuft.
Entsprechende Monitoring-Dashboards, Berichte und Protokolle gibt es bei vielen Providern. Wichtig ist allerdings, dass der Nutzer nicht nur Empfänger der Berichte ist, die der Cloud-Anbieter selbst erstellt. Vielmehr muss es zur Kontrolle des Cloud-Anbieters möglich sein, ein unabhängiges Cloud-Monitoring vorzunehmen, zum Beispiel mittels Monitoring-Lösung eines anderen Anbieters mit Schnittstellen zum jeweiligen Cloud-Dienst. Der Nutzer muss sich also aktiv von dem Cloud-Standort laut Protokoll überzeugen können.
Cloud-Management ist auch Standort-Management
Die Cloud-Administratoren des Anwenderunternehmens sollten zudem die Möglichkeiten der jeweiligen Cloud-Management-Plattform nutzen. Viele Cloud-Management-Lösungen unterstützen zum Beispiel den Datentransfer zwischen Clouds oder vom internen Netzwerk in eine Cloud. Dabei wird die Ziel-Cloud ausgesucht. Wo sich die Ziel-Cloud genau befindet, sollte in den Informationen zu den einzelnen Cloud-Ressourcen nicht fehlen.
Verschiedene Cloud-Anbieter erlauben es auch, mittels (eigener oder externer) Cloud-Management-Plattform den gewünschten Cloud-Standort zu fixieren. Abweichungen von den Einstellungen zum Cloud-Standort erzeugen dann Warnhinweise, entsprechende Datentransfers müssen speziell durch den Nutzer genehmigt werden. Solche Funktionen erwarten die Nutzer auch mehrheitlich: Wie die IDC-Studie „Besser aufgestellt: Geschäftliche Vorteile durch verstärkte Cloud-Einführung“ ergab, erwarten 57 Prozent der Unternehmen bei hybriden Clouds vor allem, dass sich die Workloads automatisch zwischen den Providern in Bezug auf Ort, Richtlinien und Governance migrieren lassen.
Spezielle Lösungen kommen
Die Herausforderung, den Cloud-Standort zu ermitteln und zu kontrollieren, wurde von einzelnen Anbietern auch bereits als Geschäftsfeld erkannt. So gibt es spezielle Lösungen, die Cloud-Nutzer dabei unterstützen, den Cloud-Standort zu managen, darunter GeoTool von Zettabox. Diese neue Lösung zum Beispiel erlaubt es Unternehmen, gezielt den Wunschstandort für ihre Daten innerhalb von Europa zu wählen. Laut Anbieter verlassen die Daten den EU-Raum nur dann, wenn die Nutzer dies aktiv veranlassen.
Auch Forschungsprojekte zum Beispiel im Bereich Cloud-Zertifizierung wie NGCert nehmen sich der Frage der Geolokation von Clouds an. Bei der Cloud-Zertifizierung der neuen Generation (NGCert) sollen Cloud-Parameter wie der Standort nicht nur einmal auditiert werden, mit einer erneuten Prüfung nach drei Jahren. Vielmehr soll ein fortlaufendes Cloud-Monitoring definierter Parameter ein wichtiger Baustein der Cloud-Zertifizierung sein. Cloud-Nutzer können dann über Dashboards sowie zusätzliche Berichte der Zertifizierer einen fortwährenden Überblick über den Cloud-Standort erhalten und somit eine Ortung bei ihren Cloud-Diensten vornehmen. Dies ist zweifellos ein Schritt in die richtige Richtung hin zu mehr Transparenz im Cloud Computing, gerade auch hinsichtlich des so entscheidenden Cloud-Standortes.