Diese Seite teilen

Software-as-a Service: Sicherheitsrisiko Cloud? Im Gegenteil!

Cloud Anwendungen sprießen derzeit wie Pilze aus dem Boden. Nutzer von HR-Software fragen sich: Wie viel Vorsicht ist hier eigentlich geboten? Immerhin werden in diesem Bereich die von Gesetzeswegen besonders geschützten personenbezogenen Daten vorgehalten. Was zu beachten ist.

Vor die Cloud hat der Datengott die IT-Sicherheit gesetzt

Viele Anwender haben eine eher nebulöse Vorstellung von Cloudcomputing, auch Software-as-a-Service (SaaS)-Modell genannt. Im Zweifel kann das Datenspionage und –klau Tür und Tor öffnen. Dann nämlich, wenn die Wahl auf den falschen HR-Lösungsanbieter fällt und die gehosteten Daten bei ihm nicht genügend gesichert sind.

Und das ist gerade im HR Bereich fatal. Schließlich können hier besonders sensible personenbezogene Informationen ausgespäht werden. Daher kommt es bei der Auswahl einer geeigneten HR-Software nicht allein auf den Funktionsumfang eines Tools, sondern ebenso auf dessen Sicherheitsstandards an.

Dazu muss der Anwender zunächst verstehen, welches Prinzip hinter dem Cloud- oder SaaS-Modell steckt. Beim Cloud-Computing wird die komplette IT-Infrastruktur bei einem externen IT-Dienstleister gehostet und vom Kunden über den Webbrowser abgerufen. Alles, was der User braucht, ist eine gut funktionierende Internetverbindung und Endgeräte. Auch im HR-Bereich stehen zunehmend mehr Cloud-Lösungen zur Verfügung.

Vorteile einer Cloud-Anwendung

Insbesondere kleine und mittelständische Unternehmen lockt die Cloud. Denn für sie entfällt damit der Aufbau einer kostenintensiven IT-Landschaft und deren Wartung. Auch müssen keine teuren Programme angeschafft werden, die schnell veralten und immer wieder upgedatet werden müssen. Stattdessen stellt der Cloud-Anbieter die jeweilige Software über ein kostengünstigeres Lizenzmodell zur Verfügung und hält diese immer auf dem aktuellen Stand.

Kein Wunder also, dass die Beliebtheit der Software aus der Datenwolke steigt und steigt. Schätzungen zufolge soll bereits 2018 der Umsatz mit Cloud-Lösungen in Deutschland 19,8 Milliarden Euro betragen und dürfte damit innerhalb eines Jahres um stattliche 28 Prozent wachsen.

Die Cloud und ihre Risiken: Wo sollte der Server stehen?

Doch Cloud ist nicht gleich Cloud. Wenn Server nicht ausreichend abgesichert ist, dann ist Ausspähen möglich. Und je nach Standort sogar legal. In Amerika darf der Staat zum Beispiel unter Berufung auf den seit 2001 gültigen „Patriot Act“ ohne jede richterliche Verfügung auf die Server von US-Unternehmen zugreifen. Dieses Recht erstreckt sich auch auf die europäischen Tochtergesellschaften von US-Firmen. Aufgrund dieser Rechtsproblematik fragen Unternehmen zunehmend die Cloud-Angebote von nichtamerikanischen IT-Dienstleistern nach, deren Server sich auf europäischen Boden befinden. Diese unterstehen einem erheblich strengeren Datenschutz.

Das ist besonders für Kunden aus heiklen Branchen wie Anwaltskanzleien, Treuhandfirmen, Ingenieurbüros, Forschungseinrichtungen und Versicherungen relevant –  oder eben auch Personaldienstleister sowie HR-Abteilungen.

Zwar soll zwischen der EU und den USA der sogenannte EU-US-Privacy-Shield dafür sorgen, dass Daten von EU-Bürgern und Unternehmen in den USA mit einem ähnlichen Schutzniveau behandelt werden wie in der Europäischen Union. Doch verschiedene Ausspäh-Skandale erschütterten schon mehrfach das Vertrauen der Konsumenten in das globale Netz.

Die USA und der Datenschutz: A never ending Story?

Nach der Amtsübernahme von Präsident Donald Trump hat es erneut gelitten. So hat der 45. Präsident der Vereinigten Staaten bereits eine Regelung durchgesetzt, nach der US-Internet-Provider die Online-Aktivitäten und Bewegungsmuster ihrer User überwachen, speichern, auswerten und zu Geld machen dürfen.

Problematisch ist außerdem, dass es trotz vieler Bemühungen seitens früherer US-Regierungen bis heute kein Datenschutzgesetz auf US-Bundesebene gibt, das mit dem Datenschutzniveau des europäischen Wirtschaftsraumes vergleichbar wäre. Verschiedenste Regelwerke auf Staaten- und Bundesebene sowie Rechtsprechungen und unternehmensinterne Datenschutzregelungen machen es den Betroffenen nahezu unmöglich zu beurteilen, wie ihre personenbezogenen Daten geschützt werden.

Europäische Datenschutzrichtlinien

Ganz anders die Datenschutzbestimmungen in Europa: Die Europäische Datenschutzrichtlinie gibt innerhalb des Europäischen Wirtschaftsraumes erheblich strengere Datenschutzregelungen für alle Mitgliedsstaaten vor. Im Mai 2018 tritt eine neue Version in Kraft, die für noch einmal mehr Einheitlichkeit sorgen soll.

Wer Ausschau nach einem Software-as-a-Service Anbieter hält, sollte daher unbedingt darauf achten, dass dessen Server in Europa stehen und es sich um ein europäisches Unternehmen handelt. Hier ist jegliche Verarbeitung personenbezogener Daten von vornherein nur mit der ausdrücklichen Erlaubnis des Betroffenen möglich.

Zugegeben schützt dieser Gesetzespassus nicht vor illegalen Zugriffen von Hackern. Und auch diese Gefahr sollte nicht unterschätzt werden. Dass Cybercrime für Unternehmen längst zu einer realen Gefahr geworden ist, belegt eine repräsentative Studie des Digitalverbands Bitkom.

Datenklau: Gefahr für Cloud-Systeme?

Laut dieser sind zwischen den Jahren 2013 und 2015 die Hälfte aller Unternehmen in Deutschland mindestens einmal Opfer von digitaler Wirtschaftsspionage, Datendiebstahl oder Sabotageakten geworden. In der Industrie sind die Zahlen sogar noch höher. Doch das spricht eher für die Cloud als gegen sie.

Denn obwohl die Gefahr aus dem Netz quasi sekündlich zunimmt, sind nur die wenigsten Unternehmen mit einer hauseigenen IT-Infrastruktur für den Ernstfall gerüstet. Hier nimmt der Schutz in der Tendenz ab- statt zu. Laut „Cisco Annual Security Report 2016″ sank die Zahl der Unternehmen mit einer eigenen optimalen Sicherheits-Infrastruktur, die sich auf dem neuesten Stand befindet, von 2014 auf 2015 um stattliche zehn Prozent. Wir sagten es ja bereits: Eine eigene Infrastruktur stets auf dem aktuellsten Sicherheitsstandard zu halten, kostet Zeit und Geld. Beides wird gerade bei kleinen Playern schon mal knapp.

Auf Zertifikate von Cloud-Anbietern achten

Auf deutlich sichererer Seite befinden sich dagegen die Nutzer von Cloud-Systemen. Denn in der Regel sind die Rechenzentren der Betreiber datenschutztechnisch auf dem neuesten Stand und können somit erheblich schwerer ausgespäht werden. Nicht allein, dass hier die neueste Firewall und Sicherheitssoftware ihren Dienst tut.

Auch werden die Prozesse innerhalb der Rechenzentren von seriösen Cloud-Anbietern von externer Stelle überprüft und zertifiziert. Potenzielle  Software-Anwender sollten bei der Wahl eines Anbieter auf Zertifikate wie den ISAE 3000-Bericht achten, in dessen Besitz auch HR Lösungsanbieter Carerix ist.

Regelmäßige und unabhängige Überprüfungen

ISAE steht für „International Standard On Assurance Engagements”. Das Zertifikat setzt eine regelmäßige Überprüfung von einem unabhängigen EDP- und Buchprüfer voraus und bescheinigt dem Inhaber eine nach genau festgelegten Normen Standardisierung der internen Prozesse zur Qualitätssicherheit. Auch die Informationssicherung ist ein fester Bestandteil von ISAE3000. Kunden können also darauf bauen, dass der sichere und vertrauliche Umgang mit ihren Daten hier Programm ist. Na, dann: Nichts wie ab in die Cloud!

Mehr Nachrichten