Risiken von Public-Clouds
Wer auf Cloud-Lösungen setzt, muss in erster Linie dem entsprechenden Anbieter einiges an Vertrauen entgegenbringen. Prinzipiell sind Cloud-Systeme von den gleichen Gefahren wie alle IT-Systeme betroffen, wie Fehlfunktionen, Ausfälle, Angriffe, Bedienfehler oder Missbrauch. Aus den Strukturen der Cloud ergeben sich zudem noch Cloud-spezifische Risiken.
Zu den Cloud-spezifischen Risiken zählen unter anderem:
- Mangelnde Datensicherheit: Dabei geht es vor allem um die sichere Übertragung von Daten über ein Netzwerk, sichere Zugriffsberechtigungen auf die Daten oder auch Schutz vor versehentlicher Löschung oder Veränderung von Daten.
- Ungenügender Datenschutz: Auf den rechtssicheren Umgang mit Daten, insbesondere die Einhaltung der Datenschutzrichtlinien der EU, muss geachtet werden. Dabei spielt vor allem der Standort der Server eine Rolle, auf welchen die Daten gespeichert sind. Nach den Richtlinien der EU sind Unternehmen zudem verpflichtet, bestimmte Daten in regelmäßigen Abständen zu löschen.
- Unerwünschte Vervielfältigung und Verteilung der Daten: In der Regel ist nicht ersichtlich, an welchem Ort Daten verarbeitet werden. Eine Verarbeitung oder Speicherung kann auch verteilt erfolgen, besonders dann, wenn ein Cloud-Anbieter Teile seiner Ressourcen fremdbezieht.
- Fehlende Transparenz der Datenhaltung: In der Regel ist die physische Datenhaltung für den*die Nutzer*in nicht überprüfbar, etwa die ordnungsgemäße Löschung von Daten, aber auch eine erfolgreiche vollständige Speicherung von Daten können nur schwer kontrolliert werden.
- Begrenzte Kontrollmöglichkeiten: Eine Kontrolle der Datenverarbeitung über entsprechende Protokolle und Dokumentationen liegt im Hoheitsgebiet des Anbieters, eine explizite Kontrollmöglichkeit durch den*die Nutzer*in muss vorgesehen sein oder auf die zur Verfügung gestellten Daten und Dokumente vertraut werden.
- Abhängigkeit vom Cloud-Anbieter: Der*die Nutzer*in ist auf die Zuverlässigkeit des Anbieters angewiesen, ob die vereinbarten Leistungen ordnungsgemäß erbracht werden oder angemessen mit den Daten umgegangen wird.
- Unerlaubte Profilbildung und Weitergabe von Daten: Gerade durch die On-Demand-Nutzung werden beim Cloud-Computing zum Zweck der Abrechnung einige Daten protokolliert. Dabei ist nicht auszuschließen, dass ein Anbieter Nutzungsprofile erstellt. Auch Inhaltsdaten können eingesehen und ausgewertet werden. Ebenso ist eine unerlaubte Weitergabe an Dritte denkbar.
- Gefahr eines Vendor Lock-in: Der Begriff bezeichnet die ungewollte Anbindung an einen Anbieter, wenn Cloud-Services nicht ohne Weiteres durch eine gleichwertige Lösung ersetzt werden können. Diese Situation besteht, wenn proprietäre Technologien verwendet werden, die inkompatibel mit denen von Mitanbietern sind. Auch vertragliche Beschränkungen können zu einem Vendor Lock-in führen, beispielsweise wenn das Herauslösen von (großen) Datenmengen aus einer Cloud-Anwendung zu (hohen) Ablösezahlungen führt.