"There is no cloud. It's just someone else's computer." 
(Unbekannt)

„Cloudanwendungen” begleiten heute den Alltag in vielen Lebensbereichen, z.B. als nützliche
Apps im persönlichen Umfeld, als kollaborative Projektplattformen über Unternehmensgrenzen
hinweg oder als kurzfristig verfügbare skalierbare Infrastrukturen im Alltag von Bildung, Wirtschaft und Administration. 

Sie ermöglichen eine einfache, effektive und effiziente Zusammenarbeit, schaffen schnelle und 
flexible Lösungen und unterstützen beim mobilen Arbeiten. 

Zahllose Clouddienste sind heute sowohl als sogenannte „Public-Cloud”-Lösungen oder als sogenannte „Private-Cloud” in den unterschiedlichsten Geschäftsmodellen verfügbar.

Dabei darf aber nicht außer Acht gelassen werden, dass „die Cloud” ein abstrakter Begriff ist, letztendlich aber nur bedeutet, dass die darin enthaltenen Daten und Informationen in einem Rechenzentrum irgendwo auf der Welt in der Hand eines Betreibers verarbeitet werden. Die Frage nach Zugriff und Eigentümerschaft ist daher sehr wichtig, wenn es um Cloudanwendungen geht. 

Wir unterscheiden zwischen verschiedenen Arten von Cloud-Diensten:

• SaaS
  • Software-as-a-Service
  • Extern betriebene Software, z. B. MS Office 365
  • Lizenzierung oft „on-demand“
• PaaS
  • Platform-as-a-Service
  • Z. B. Google App Engine
  • Stellt Entwicklungsumgebungen für Entwickler bereit
• IaaS
  • Infrastructure-as-a-Service
  • Z. B. Hosting-Anbieter wie AWS, Ionos, Hetzner, MS Azure

Es gibt noch einige weitere („FaaS“). Diese gelten als zu spezialisiert, um hier aufgeführt zu werden. Für die Beurteilung, ob eine externe Cloud-Speicherung oder -Verarbeitung zulässig ist, sind die verschiedenen Kategorien (SaaS, PaaS, IaaS, ...) nicht entscheidend. Die Datenkategorien bestimmen die Beurteilung, siehe unten.

Die Risiken für das ICBM lassen sich grob in drei sich überschneidende Kategorien einteilen:

• Rechtlich
  • Offenlegung von Daten
  • Rechte an geistigem Eigentum
  • Lizenzen und Governance
  • DSGVO
  • Exportkontrolle
  • Speicherung und Löschung gemäß Bundesrecht
• Finanziell
  • Lizenzen und Governance
  • Kann aufgrund von Verstößen zu Geldstrafen führen
• Organisatorisch & technisch
  • Zugänglichkeit
  • Nachverfolgung der Nutzung
  • Einschleusen von Schadcode
  • Kompatibilität der Daten (Migration)
  • Anbieterabhängigkeit

Vor der Nutzung externer Clouddienste muss der jeweilige Antragsteller in Absprache mit den zuständigen Datenverantwortlichen eine Vorabprüfung durchführen, die eine Kosten-Nutzen-Analyse und eine Risikobewertung umfasst. Diese Prüfung beinhaltet einen Vergleich mit internen Clouddiensten.

Den Nutzern wird empfohlen, Tests externer Clouddienste mit Testdaten durchzuführen.

Externe Clouddienste sollten nur dann in Betracht gezogen werden, wenn eine vom jeweiligen Antragsteller initiierte Vorabprüfung ergibt, dass innerhalb von ICBM/UOL keine geeignete Lösung vorhanden ist oder dass keine solche Lösung implementiert werden kann, die den jeweiligen funktionalen und nicht-funktionalen Anforderungen oder den jeweiligen vertraglichen, rechtlichen, finanziellen oder zeitlichen Vorgaben entspricht.

Die Nutzung externer Clouddienste darf nicht gegen gesetzliche und vertragliche Anforderungen, die IT-Rahmenrichtlinie der ICBM/UOL oder die IT-Sicherheitsvorschriften der ICBM/UOL in ihrer jeweils gültigen Fassung verstoßen.

WICHTIG: Die Entscheidung über die Nutzung von Clouddiensten muss vom Datenverantwortlichen getroffen werden. Dies bedeutet, dass der Datenverantwortliche auch die entsprechende Verantwortung für deren Nutzung trägt. Die IT des ICBM berät gerne.