Chancen und Risiken von Cloud Computing

Gemäß dem jährlich veröffentlichten Cloud-Monitor, einer Studie der Bitkom Research GmbH, haben im Jahr 2016 bereits mehr als die Hälfte der deutschen Unternehmen (54 %) Cloud Computing eingesetzt. Beim Cloud Computing handelt es sich um eine spezielle Form des  IT-Outsourcings, bei der IT-Leistungen wie beispielsweise Speicherplatz, Rechenleistung oder Anwendungssoftware als Service über das Internet bezogen werden.

Trotz einer nahezu unüberschaubaren Vielzahl von Cloud Services, die sich mittlerweile herausgebildet haben, kann man diese nach drei Servicemodellen kategorisieren:

  • Im Fall von Software-as-a-Service (SaaS) bietet der Cloud-Anbieter eine Software auf seinen Servern an, die seitens des Empfängers unmittelbar eingesetzt werden kann. Der Zugriff auf die Software erfolgt in der Regel über den Webbrowser des Anwenders. Im Rahmen unserer  Prüfungstätigkeit treffen wir in diesem Zusammenhang häufig den Fall der Lohn- und Gehaltsabrechnung in einem externen Rechenzentrum an.
  • Beim Servicemodell Platform-as-a-Service (PaaS) wird den Cloud-Nutzern durch einen Anbieter die Möglichkeit gegeben, eigene Programme auf einer Plattform in der Cloud bereitzustellen. Dieses Modell wird in der Regel von Web-Entwicklern genutzt.
  • Bei Infrastructure-as-a-Service (IaaS) werden dem Cloud-Nutzer Hardware oder Infrastrukturdienste zur Verfügung gestellt. Dabei kann es sich beispielsweise um Speicherplatz oder zusätzliche Rechenleistung handeln.

Neben den unterschiedlichen Servicemodellen kann auch nach der Art der Cloud unterschieden werden:

  • Während  die Public Cloud die  „typische“ Art der Cloud darstellt, in der jeder die angebotenen Services beziehen kann, ist die Private Cloud das genaue Gegenteil dessen. Im Fall der Private Cloud wird diese ausschließlich für eine Organisation bereitgestellt und kann entweder von der Organisation selbst bzw. von einem Dienstleister, der die Verwaltung übernimmt, betrieben werden.
  • Bei der Community Cloud handelt es sich um eine Art nichtöffentliche Cloud, bei der sich eine begrenzte Anzahl von Organisationen eine Cloud teilen. Dies ist insbesondere dann von Vorteil, wenn gleichartige Anforderungen an die Cloud gestellt werden, zum Beispiel bei datenschutzrechtlichen  Anforderungen, deren  Einhaltung es einer Gruppe von Krankenhäusern ermöglicht, patientenbezogene Daten auch außerhalb der jeweiligen Einrichtungen zu speichern bzw. auf diese zuzugreifen.
  • Im  Fall der hybriden Cloud handelt es sich um einen Zusammenschluss mehrerer unterschiedlicher Cloud-Arten, wie bspw. eine kombinierte Nutzung von Private und Public Cloud-Diensten. Letzteres wird in der Praxis häufig im Fall von Kapazitätsengpässen angewendet, wenn die eigenen Ressourcen innerhalb der Private Cloud nicht ausreichen und daher auf Public Cloud-Dienste ausgewichen werden muss.

Wesentliche  Vorteile für die Nutzung von Cloud Servicesergeben sich neben geringeren Kosten aus einer höheren Flexibilität für die jeweilige Organisation. Diesen Vorteilen stehen aber auch Risiken gegenüber. Diese werden vielfach dort gesehen, wo die Speicherung von Daten des genutzten Services im Vordergrund steht. Neben allgemeinen IT-Risiken wie zum Beispiel Fehlfunktionen, Angriffen, Ausfällen oder Bedienfehlern spielen konkrete Gefahren wie eine unüberprüfbare Daten-haltung, mangelhafte Möglichkeiten zur Kontrolle des Cloud-Anbieters sowie eine unkontrollierte Vervielfältigung und Verteilung von Daten eine große Rolle für Unternehmen. Somit ist es nicht verwunderlich, dass vor dem Hintergrund der besonders schützenswerten Sozialdaten im Bereich  der  Gesundheits- und Sozialwirtschaft eine größere Zurückhaltung in Bezug auf die Nutzung entsprechender Cloud Services besteht.

Vor dem Hintergrund der zunehmenden Digitalisierung in allen Geschäftsbereichen und -prozessen wird jedoch mittel-  bis langfristig kein Weg am Cloud Computing vorbei führen. Entscheidend für einen zielführenden Einsatz von Cloud Computing ist  jedoch die Berücksichtigung einiger wesentlicher Aspekte in diesem Zusammenhang:

  • Erstellung einer Cloud-Strategie,
  • Analyse der existierenden Geschäftsprozesse,
  • Auswahl eines geeigneten Cloud-Anbieters,
  • Vertragsgestaltung und Detailplanung,
  • Umsetzung und Migration und
  • Überwachung der Cloud Services.

Praxis Hinweis
Aus unserer Sicht lassen sich Cloud Services mittel- bis langfristig nicht mehr aus dem Unternehmensalltag wegdenken. Die fortschreitende Digitalisierung beschleunigt diesen Prozess. Gerne sind wir Ihnen in allen Phasen der Implementierung behilflich.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
CISA/CISO
Oliver Schikora
+49 (0)2203 8997-228
 
Prokurist der Solidaris Revisions-GmbH WPG STB, Köln, Leiter Geschäftsfeld IT-Beratung/Geschäftsbereich Unternehmensberatung

Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

Schikora

Bei Solidaris seit 2004

Qualifikationen

  • Certified Information Systems Auditor (CISA)
  • Chief Information Security Officer (CISO) ISO/IEC 27001/BSI-ITGrundschutz
  • IT-Auditor IDW
  • IT-Security Beauftragter (TÜV)
  • Dipl.-Betriebswirt (FH), Fachhochschule Koblenz

Schwerpunkte

  • Systemprüfungen im Rahmen von Jahresabschlussprüfungen, IT-Revision sowie datenanalytische Prüfungen
  • Langjährige Verantwortung als Prüfungsleiter für Jahresabschlussprüfungen und prüfungsnahe Beratungsleistungen bei gemeinnützigen Organisationen
  • Erfahrung in der Prüfung und Optimierung IT-gestützter Geschäftsprozesse
  • Begleitung von Software-MigrationenErfahrung im Auf- und Ausbau informationstechnischer Sicherheitssysteme (z. B. ISMS n. DIN ISO 27001)
  • Referent bei verschiedenen internen und externen Fortbildungsveranstaltungen im Bereich der IT-Revision
  • Autorentätigkeit
  • Leitung des KompetenzTeam Prüfungsnahe IT-Anwendungen der Solidaris

Mitgliedschaften

  • ISACA International/German Chapter
  • Deutsches Institut für Interne Revision e. V. (DIIR)

Veröffentlichungen in der Fachpresse
2020

  • Datenschutz und Informationssicherheit in der Altenhilfe: So schützen Sie sich und die Daten der von Ihnen betreuten Menschen: Pflege Management, 2-3/2020, S. 10.

Veröffentlichungen in der Fachpresse
2019

  • Prüfung jetzt!: Health&Care Management, 4/2019, S. 60-61.
  • IT-Sicherheit 2019: Best Practice und typische Fallstricke im Krankenhaus: Wümek, 5/2019,
    S. 126-127.
  • Wie sichern Sie Ihre Kronjuwelen? Der Umgang mit Informationswerten im digitalen Zeitalter: PflegeManagemet, 10/11/2019, S. 11.