Cloud-Strategie: So verabschieden sich Unternehmen vom Vendor-Lock-In

Beschränkte sich die Nutzung der Cloud in den Anfangsjahren für viele Unternehmen auf das Rechenzentrum, wird sie künftig immer mehr zum Gravitationszentrum der gesamten IT werden. Zu diesem Ergebnis kommt auch die IDC-Studie „Cloud-Infrastrukturen und -Architekturen in Deutschland 2021“. Für die Transformation hin zu einem digitalen Infrastruktur-Framework mit der Cloud als zentrales Bereitstellungsmodell sollten Unternehmen jetzt den Grundstein mit einer durchdachten Cloud-Strategie legen.

Hinzu kommt, dass Unternehmen, die auf Cloud-Anbieter aus den USA setzen, empfindliche Bußgelder drohen. Der Grund: Sie verstoßen gegen die europäische Datenschutz-Grundverordnung (EU-DSGVO) und damit gegen EU-Recht. Bußgelder von bis zu 20 Millionen Euro sind möglich. Bei der Neuausrichtung der Cloud-Strategie ist jedoch einiges zu beachten. Denn mancher Cloud-Anbieter setzt auf ausgefeilte und undurchsichtige Strategien, um Unternehmen an sich zu binden – Stichwort Vendor-Lock-In. Wo sollten Verantwortliche einen prüfenden Blick ins Kleingedruckte des Cloud-Angebots werfen und welche Kriterien sollten Cloud-Lösungen erfüllen?

Cloud-Strategie: One-Way-Ticket für Unternehmensdaten

Die Strategie ist altbekannt, dennoch geht sie für viele Anbieter noch immer auf: Mit dem Vendor-Lock-In setzen Anbieter beim Verkauf von Software schon seit Jahrzehnten auf lange Wartungsverträge und inkompatible Schnittstellen, um Kunden an sich zu binden. Mit günstigeren Konditionen beim Abschluss langer Vertragslaufzeiten locken heute auch im Cloud-Umfeld Anbieter Unternehmen an. Wer wiederum viel Wissen für den Betrieb einer Cloud-Infrastruktur voraussetzt, wie etwa Amazon Web Services oder Azure, versucht, Unternehmen mit einer anderen Strategie abhängig zu machen: Haben sich Unternehmen das notwenige Know-how mühsam aufgebaut, werden sie einen Provider-Wechsel weit seltener in Betracht ziehen, sondern bleiben dem Anbieter treu.

Cloud-Strategie: Kundenbindung durch Vendor-Lock-Ins

Zu guter Letzt kann Unternehmen auch die Masse der bereits transferierten Daten zum Verhängnis werden: Die Cloud-Provider unterstützen gerne bei der Datenübermittlung in ihre Cloud-Infrastruktur bis in den Tera-, Peta- oder sogar Exabyte-Bereich. Will ein Unternehmen seine Daten jedoch aus der Cloud zurückholen, ist es mit der Hilfsbereitschaft schnell vorbei. Denn während für die Migration in die Cloud keine oder geringe Gebühren zu zahlen sind, lassen sich die Anbieter das Rückticket der Daten gerne teuer bezahlen.

Oft geht diese zweifelhafte Strategie der Kundenbindung durch Vendor-Lock-Ins auf: Weil Unternehmen Kosten und Aufwand scheuen, bleiben sie beim Anbieter und sind von diesem extrem abhängig. Auch bei Preiserhöhungen oder wesentlichen Änderungen im Service-Angebot hat der Anwender kaum eine Wahl, als die neuen Bedingungen zu akzeptieren. Das gilt auch, wenn etwa der eingesetzte Cloud-Anbieter den Besitzer wechselt und plötzlich zu einem undurchsichtigen Unternehmenskonstrukt gehört. Für Kunden ist dann kaum noch nachzuvollziehen, wohin ihre Daten wirklich gehen und wer auf diese zugreifen kann.

Verstöße gegen Datenschutz und Bußgelder vermeiden

Unternehmen sollten jetzt die Reißleine ziehen und sich auf die Suche nach passenden alternativen Cloud-Anbietern machen. Gerade wenn künftig IIoT- oder KI-Projekte geplant sind, sollten Unternehmen handeln, bevor sie weiter massenhaft Daten in die Cloud transferieren, die sie früher oder später teuer zurückholen müssen. Auf der Suche nach geeigneten Alternativen und bei der Auswahl eines Cloud-Anbieters können folgende Kriterien helfen:

Mit einem Anbieter aus Deutschland setzen Unternehmen bereits grundsätzlich auf mehr Sicherheit und Privatsphäre. Die Serverinfrastruktur sollte in Eigenbetrieb, hochverfügbar sowie ebenfalls in Deutschland sein. Wichtig zu beachten: Selbst, wenn ein Anbieter damit wirbt, Daten auf deutschen Servern zu hosten, kann diese Angabe irreführend sein. Denn auch hierzulande gespeicherte Daten unterliegen seit 2018 dem Cloud Act, wenn sich der Hauptsitz des Anbieters in den USA befindet. Für deutsche Unternehmen bedeutet das: US-Behörden dürfen auf ihre Daten zugreifen.

Datenverarbeitung durch Dritt-Anbieter

Auch beim Thema Datenverarbeitung durch Dritte sollten Unternehmen einen prüfenden Blick ins Kleingedruckte werfen. Von Dritt-Anbietern spricht man, wenn Informationen über Verhalten, Lesegewohnheiten oder Präferenzen eines Website-Besuchers nicht nur an den Website-Betreiber, sondern auch an dritte Parteien weitergegeben werden. Das können Internet- oder Server-Dienstleister sowie Anbieter von Script-, Schriften- oder Analytics-Diensten sein.

Arbeitet ein Cloud-Dienstleister mit Dritt-Anbietern, ist für Kunden oft kaum noch nachzuvollziehen, wohin die eigenen Daten gesendet werden. Gerade wenn Werbetreibende im Spiel sind, gibt es kaum noch Transparenz. Bei der Wahl eines Cloud-Anbieters sollten Unternehmen deshalb darauf achten, ob die Zusammenarbeit mit Dritt-Anbietern ausgeschlossen ist. Und ob Schriften eigens gekauft sind (das heißt, nicht über Google oder Adobe geladen werden müssen) und die eigenen Daten damit nicht auf weitere Server gelangen.

Cloud-Strategie: Auf Open-Source-Software setzen

Wer nicht in die Falle des Vendor-Lock-Ins tappen möchte und Wert auf Transparenz legt, sollte zudem auf die Verwendung von Open-Source-Software setzen: Arbeitet ein Cloud-Anbieter mit Open Source, können sich Unternehmen im Code selbst davon überzeugen, dass Absprachen eingehalten werden. So bleiben Unternehmen unabhängig und flexibel.

Bewährt haben sich außerdem Anbieter, die selbst so wenige Daten wie möglich von Unternehmen sammeln und speichern. Mit dem Zero-Knowledge-Prinzip ist beispielsweise garantiert, dass der Anbieter selbst keine Möglichkeiten hat, auf geschützte Daten zuzugreifen. Mit einer Client-seitigen Ende-zu-Ende-Verschlüsselung schaffen Unternehmen die Voraussetzung dafür, dass die Daten sicher bleiben, selbst wenn der Anbieter Opfer eines Cybercrime-Angriffs werden sollte. Denn wenn die Daten auf den Servern des Anbieters gehostet werden, verbleibt der Schlüssel dazu stets in der Hand des Kunden.

Eine Zwei-Faktor-Authentifizierung kann Storage- und Mail-Systeme darüber hinaus zusätzlich gegen Fremdzugriff absichern. Eine automatische Versionierung der gespeicherten Daten etwa via Snapshots bietet Schutz vor gegenseitiger Überschreibung während gemeinsamer Arbeit an Dokumenten. Und enthält auch einen besonderen Schutz vor Ransomware-Angriffen und Datenverlust.

Cloud-Strategie ist Basis für Unternehmenserfolg

Unternehmen sind heute weltweit vernetzt und speichern Daten in der Cloud. Zudem nutzen sie Software, soziale Netzwerke sowie Webkonferenzsysteme internationaler Anbieter zur Kommunikation. Gleichzeitig wird der internationale Datentransfer immer komplexer. Eine durchdachte Cloud-Strategie ist für Unternehmen heute unverzichtbar. Wer auf eine skalierbare, sichere und effiziente Cloud-Lösung setzt, schafft eine wichtige Basis für zukünftigen Unternehmenserfolg. Um Bußgeldern wegen Datenschutzverstößen und dem Vendor-Lock-In vorzubeugen, sollten Unternehmen jetzt handeln und geeignete alternative Cloud-Lösungen wählen. Dabei lässt sich mit einfachen Mitteln viel erreichen. Wer bei Cloud- und E-Mail-Hosting auf die genannten Kriterien achtet, nimmt den Schutz der eigenen Daten selbst in die Hand und schafft bereits enorme Verbesserungen.

Über den Autor: Luc Mader ist CEO und Geschäftsführer der luckycloud GmbH. Der Anbieter von File-Hosting-Diensten legt den Fokus auf Sicherheit, Datenschutz und Verfügbarkeit. Unternehmensdaten unabhängig von Konzernen sicher in einer Cloud speichern zu können, war die die Idee der Gründer von luckycldoud im Jahr 2015 und ist bis heute die Maxime des Cloud-Providers. (sg)

Lesen Sie auch: Cloud-Migration: 6 Fallstricke, die zu unerwarteten Kosten führen können