Sie haben eine neue Herausforderung für uns?
Wir freuen uns auf Ihre Nachricht.
„Wie sicher ist die Cloud?” Diese Frage steht bereits von Anfang an im Raum und kann – wie so vieles – nicht mit einer absoluten Erklärung beantwortet werden. Zu viele Faktoren spielen hier ineinander und zu viele Entwicklungen finden täglich statt, um eine generelle Antwort zu finden. Einfacher wird es allerdings, wenn wir uns auf ein bestimmtes Produkt fokussieren und die aktuelle Situation unter entscheidenden Gesichtspunkten betrachten.
Ohne Anspruch auf uneingeschränkten Wahrheitsgehalt, aber doch mit geschärftem Blick auf die tatsächlich relevanten Aspekte möchte ich daher im Folgenden auf die Frage eingehen: „Wie sicher ist die Microsoft Cloud?” Denn hierbei handelt es sich um einen der größten Trends des Herstellers und wir führen mit unseren Kunden immer wieder konstruktive Gespräche, um gemeinsam das Für und Wider abzuwägen.
Im Jahr 2023 hat Microsoft die erste Phase zur schrittweisen Umsetzung seines Plans “EU Data Boundary for the Microsoft Cloud” abgeschlossen. In Microsoft 365, Azure, Power Platform, and Dynamics 365 gespeicherte und verarbeitete Kundendaten verbleiben nun ausnahmslos innerhalb der EU-Grenzen. Anfang 2024 wurde die lokale Speicherung und Verarbeitung dann auf alle personenbezogenen Daten, wie z.B. automatisierte System Logs, ausgeweitet. Microsoft ist damit der erste große Cloud-Anbieter, der seinen Kunden diese Art von Datenhaltung bietet. Weitere Meilensteine kündigt der Hersteller ebenfalls noch für 2024 an.
Nach vollständiger Umsetzung der EU Data Boundary for the Microsoft Cloud werden gewerbliche und private Kunden von folgenden Vorteilen für Datenschutz und Sicherheit in cloudbasierten Umgebungen profitieren:
Die EU Data Boundary ist somit ein wichtiger Schritt in Richtung Datensicherheit und Datenschutz für Unternehmen in Europa, die Microsoft Cloud-Dienste verwenden. Allerdings muss auch gesagt werden, dass die DSGVO damit nicht hundertprozentig abgedeckt ist. Beispielsweise schreibt diese vor, dass bestimmte Daten, wie sensible Bankinformationen, nur im eigenen Land liegen dürfen. Das würde bedeuten, dass der Hersteller Microsoft in jedem einzelnen Land ein eigenes Rechenzentrum für die Cloud-Daten errichten müsste.
Microsoft investiert in den Standort Österreich und errichtet derzeit in der Nähe von Wien eine Cloudregion aus mehreren Rechenzentren. Diese werden zu 100 Prozent mit erneuerbarer Energie aus Österreich betrieben und setzen neue Maßstäbe in Sachen Energieeffizienz und Nachhaltigkeit. Im Zuge der Realisierung dieses Projekts soll außerdem ein neues Center of Digital Excellence entstehen und in fachspezifische Qualifizierungsmaßnahmen für rund 120.000 Arbeitsplätze investiert werden.
Spätestens die Erfahrungen mit Corona haben das Erfordernis der digitalen Transformation spürbar gemacht und zum Teil für ein Umdenken in österreichischen und deutschen Unternehmen gesorgt. Zettelwirtschaft und händische Excel-Listen sind ineffizient und fehleranfällig, während viele Lösungen, wie beispielsweise digitale Archivierungssysteme, aufgrund ihrer hohen Kosten wenig attraktiv erscheinen.
Die Entwicklung hin zum papierlosen und ortsunabhängigen Business Alltag, wo Sicherheit und Flexibilität bestmöglich miteinander kombiniert werden, richtet den Blick der Verantwortlichen automatisch in Richtung Cloud-Computing. Denn hier stehen nach oben hin unbegrenzte Datenspeicher-Kapazitäten zur Verfügung, die modernes Arbeiten über Zeit- sowie Ortsgrenzen hinweg ermöglichen und zudem erschwinglich sind. So fällt die Entscheidung heutiger Unternehmen immer öfter auf eine cloud-basierte Infrastruktur, die i.d.R. hybrid organisiert ist.
Belegt wird diese Entwicklung durch das steigende Marktvolumen von Cloud-Computing Services, das laut International Data Corporation (IDC) im Jahr 2022 erstmals die Umsatzschallmauer von 500 Milliarden US-Dollar durchbrechen konnte. Schon bald werden aber auch diese Zahlen niemanden mehr beeindrucken. Denn bis 2027 prognostiziert IDC einen Anstieg des Volumens auf gewaltige 1,35 Billionen US-Dollar. Für das einzelne Unternehmen allerdings sind die Kosten für Cloud-Dienste verhältnismäßig gering und einzelne Dienste bereits in den Microsoft Basislizenzen kostenfrei integriert.
Jede Überlegung für oder gegen die Cloud ist sinnvoll und empfehlenswert. Erschwert wird diese allerdings durch lang anhaltende Mythen und fehlende aktuelle Daten im Netz sowie im täglichen Austausch. Ohne Anspruch auf Vollständigkeit möchte ich daher auf einige aktuelle Hard Facts zu Datensicherheit und Datenschutz der Microsoft Cloud eingehen, die nach der Erfahrung unserer Kunden für die Entscheidung relevant sind:
Einer der großen Kritikpunkte der jüngeren Vergangenheit war die nicht vollständig erfüllbare Archivierungsfunktion auf Basis der Microsoft Lösungen. Denn rechtskräftige Archivierungssysteme müssen Änderungen an archivierten Daten für die gesetzlich vorgegebene Aufbewahrungspflicht gänzlich unterbinden können. Da der IT-Administrator theoretisch die Regel für die Archivierungsfunktion noch ändern konnte, entstand hier eine kleine Lücke in der erforderlichen Rechtskonformität. Diese wurde nun geschlossen, sodass eine Manipulation während der gesamten Aufbewahrungspflicht von z.B. sieben Jahren NICHT mehr möglich ist.
Es ist vor allem die Angst vor Kontrollverlust, die psychologisch gesehen die Cloud mitunter unsicherer erscheinen lässt. Denn plötzlich liegen die Daten nicht mehr vor Ort, etwa in einem fest verschlossenen Serverraum, wo Unbefugte keinen Zutritt mehr haben. Rational betrachtet hält diese These den realen Bedingungen allerdings nicht stand. Denn die Cloud garantiert letztlich eine höhere Sicherheit als jeder lokale Server, beispielsweise da letzterer im Gegensatz zur Cloud einfach zerstört werden kann.
Microsoft investiert jährlich mehr als eine Milliarde US-Dollar in Security, Datenschutz und Risikomanagement und zwar nicht nur zum eigenen Schutz, sondern auch für eine möglichst hohe Sicherheit aller User. Im Kampf gegen Cyberkriminalität setzt der Weltkonzern auf eine eigene Security-Abteilung, die Digital Crimes Unit, die sich unter Verwendung von KI-unterstützten Lösungen ausschließlich mit dem Thema „Sicherheit“ beschäftigt.
Die Geschichte zeigt, dass überzeugende Konzepte und Entwicklungen sich auch durchsetzen, wenn ihnen die rechtsgültige Konformität anfangs noch fehlt. So waren etwa E-Mail-Rechnungen schon eine ganze Weile “akzeptiert”, noch bevor diese digitale Rechnungsabwicklung rechtskräftig wurde. Dasselbe lässt sich nun mit Cloud-Computing-Diensten wie jenen von Microsoft beobachten. Die Akzeptanz der Anwender und Unternehmen für die Microsoft Cloud steigt kontinuierlich und schnell. Was nun noch fehlt, ist ein Exempel, etwa durch eine angesehene Wirtschaftsprüfungskanzlei, die ihren Sanctus zur rechtskonformen Verwendung der Microsoft Cloud für ein großes, bekanntes Unternehmen gibt.
Wie Sie sehen, ist eine Antwort auf die Frage nach der Sicherheit der Microsoft Cloud nicht absolut und vollständig beantwortbar. Denn es lässt sich (noch) nicht behaupten, dass die Nutzung vollumfänglich mit allen Aspekten der DSGVO übereinstimmt. Ebenso wenig wird es jemals möglich sein, eine hundertprozentige Sicherheit Ihrer Systeme zu garantieren.
Was sich allerdings feststellen lässt, ist das forcierte Bemühen des Cloud-Anbieters, den datenschutzrechtlichen Anforderungen der EU-Länder bestmöglich entgegenzukommen. Dort, wo Anwender riskante Schmerzpunkte wie die Regulatory Labels feststellen, werden Lösungen gesucht und das Budget für Security-Entwicklungen bei Microsoft ist verhältnismäßig hoch. Außerdem können wir beobachten, dass die Akzeptanz der Unternehmen im DACH-Raum für Hybrid Cloud Infrastrukturen rasant zunimmt. Hier ist die Geschäftswelt zwar schneller als die Rechtsprechung, doch es wäre nicht das erste Mal, dass ein gewinnbringender Fortschritt auf diese Weise angestoßen wird.
Jürgen Sadleder ist seit März 2016 Geschäftsführer bei corner4. Mit jahrelanger Erfahrung als Projektmanager und breit gefächertem Prozesswissen unterstützt Jürgen Kunden in den Bereichen Softwareentwicklung, Business Intelligence und Microsoft 365.
Notwendige Cookies sind für die einwandfreie Funktion der Website notwendig. Diese Kategorie umfasst Cookies, die grundlegende technische Funktionalitäten und Sicherheitsmerkmale der Website gewährleisten. Diese Cookies speichern keine persönlichen Informationen.
| Cookie | Dauer | Beschreibung |
|---|---|---|
| cli_user_preference | 12 Monate | Dieses Cookie wird von unserem DSGVO Cookie Banner gesetzt und dient dazu, zu speichern, ob der Benutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine persönlichen Daten. |
| cookielawinfo-checkbox-analytics | 12 Monate | Dieses Cookie wird von unserem DSGVO Cookie Banner gesetzt. Es wird verwendet, um die Zustimmung des Benutzers für die Cookies der Kategorie "Analytics" zu speichern. |
| cookielawinfo-checkbox-necessary | 12 Monate | Dieses Cookie wird von unserem DSGVO Cookie Banner gesetzt. Es wird verwendet, um die Zustimmung des Benutzers für die Cookies der Kategorie "Notwendig" zu speichern. |
| CookieLawInfoConsent | 12 Monate | Dieses Cookie wird von unserem DSGVO Cookie Banner gesetzt und dient dazu, zu speichern, ob der Benutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine persönlichen Daten. |
| viewed_cookie_policy | 12 Monate | Das Cookie wird von unserem DSGVO Cookie Banner gesetzt und dient dazu, zu speichern, ob der Benutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine persönlichen Daten. |
Wir setzen folgende Analyse Cookies ein, um unserer Website auf Basis der gewonnen Erkenntnisse laufend optimieren zu können.
| Cookie | Dauer | Beschreibung |
|---|---|---|
| __hstc | 13 Monate | Dieses Cookie wird von HubSpot zur Analyse der Besucherzugriffe gesetzt. |
| _ga | 24 Monate | Dieses Cookie wird von Google Analytics zur Unterscheidung des Websitebesuchers eingesetzt. |
| _gat | 1 Minute | Dieses Cookie wird von Google Analytics zur Drosselung der Zugriffe auf Google Analytics eingesetzt. |
| _gid | 24 Stunden | Dieses Cookie wird von Google Analytics zur Unterscheidung des Websitebesuchers eingesetzt. |
