Geschäftskritische E-Mail-Kommunikation
Alles Cloud oder was?
Applikationen und Daten kommen immer häufiger aus der Cloud – das ist praktisch und flexibel. Was Unternehmen aber nicht an Microsoft & Co auslagern können, ist die Haftung für IT-geschützte Prozesse. Wenn es unterm Cloud-Dach brennt, wird es sehr ernst.
ICT CHANNEL: Fast 52 Milliarden Dollar hat Microsoft im jüngsten Quartal mit Cloud-Services umgesetzt, ein Fünftel mehr als im Vorjahr. Immer mehr Unternehmen lagern Applikationen und Daten in die Cloud aus. Die Vorteile liegen auf der Hand. Aber wissen Unternehmen auch, welche Risiken sie dabei eingehen?
Björn-Arne Meyn: Vielen Betrieben sind die Risiken nicht bewusst, obwohl die Cloud Service Provider in ihren Nutzungs- oder Vertragsbestimmungen häufig darauf hinweisen, dass ihre Kunden beispielsweise für die Sicherung der Daten verantwortlich sind. Man kann nicht häufig genug betonen: Kunden tragen selber die Verantwortung dafür, ihre Daten vor einem möglichen Verlust zu schützen. Das betrifft auch die E-Mail-Kommunikation samt Anhängen, die in der Cloud gespeichert werden. Und auch die Wiederherstellung der Daten, wenn der Ernstfall eintritt.
ICT CHANNEL: Wie erst kann denn ein Ernstfall sein?
Meyn: Durchaus gravierend. Der Großbrand im Straßburger Rechenzentrum des Cloud Providers OVH im März vergangenen Jahre hat es ja zeigt. Rund 10.000 Server wurden zerstört [ICT CHANNEL berichtete], sämtliche Daten tausender Kunden, die auf den betroffenen Servern gehostet wurden, gingen unwiederbringlich verloren. Der Vorfall macht einmal mehr deutlich, dass Daten und der E-Mail-Verkehr in der Cloud nicht automatisch und dauerhaft sicher sind. Dafür müssen nicht einmal die Server einer Brandkatastrophe zum Opfer fallen.
ICT CHANNEL: Sondern?
Meyn: Selbst ein simpler Ausfall des Rechenzentrums kann zum Verlust wichtiger Unternehmenskommunikation führen. Das kann schwerwiegende Folgen haben: Daten- und Wissensverluste, denn gerade Wissen hat sich über mehrere Jahre hinweg in den E-Mails und Anhängen angesammelt. Die Produktivität sinkt, weil längerfristige Störungen das Tagesgeschäft ruhen lassen. Und nicht zuletzt rechtliche Konsequenzen.
ICT CHANNEL: Die da wären?
Meyn: In Deutschland, Österreich und der Schweiz geltenden steuer- und handelsrechtlichen Anforderungen verpflichten Firmen grundsätzlich dazu, ihre E-Mails über viele Jahre hinweg vollständig, originalgetreu, manipulationssicher und jederzeit verfügbar aufzubewahren. Dazu kann jegliche Korrespondenz gehören, durch die ein Geschäft vorbereitet, abgewickelt, abgeschlossen oder rückgängig gemacht wird, wie beispielsweise Rechnungen, Aufträge, Reklamationsschreiben, Zahlungsbelege und Verträge. Im Übrigen bleibt das Unternehmen als Nutzer des Cloud-Dienstes auch im Sinne der EU-DSGVO datenschutzrechtlich in der Verantwortung.
ICT CHANNEL: Sie sprechen von einem „Modell der geteilten Verantwortung“, wenn Unternehmen Teile ihrer Infrastruktur einen Cloud-Provider anvertrauen. Was ist damit gemeint?
Meyn: Kunden müssen ihrer Eigenverantwortung nachkommen, so wie eben beschrieben, es Cloudanbieter in ihren Verträgen festschreiben. Dazu gehört der Einsatz von Backups und E-Mail-Archivierung. Das ist das Fundament einer IT-Strategie und Grundpfeiler für ein laufendes, IT-gestütztes Geschäft, was unter man unter dem Schlagwort Business Continuity zusammenfasst.
ICT CHANNEL: Also neben Cloud-Services weitere Systeme, wie E-Mail-Archivierungslösungen?
Meyn: Das bleibt nicht aus. Zumal der E-Mailverkehr ja nicht nur rechtlichen Pflichten unterliegt, sondern auch sicherheitsrelevant ist. Eine E-Mail-Archivierungslösung sollte mit kyptografischen Methoden wie Verschlüsselung und digitalen Signaturen die Integrität der archivierten E‑Mails gewährleisten. Professionelle Systeme bieten eine solche Revisions- und Manipulationssicherheit.
Lesen Sie mehr zum Thema
