Leitfaden zur Auswahl

Sichere Cloud Provider: Was Sie wissen sollten

Erfahren Sie in diesem Artikel, warum Ihr Cloud Provider Ihnen mehr bieten muss, als nur einen Standort in Deutschland, damit Ihre Unternehmensdaten wirklich sicher sind - und nicht nur auf dem Papier.

Deutsche Cloud Provider und deren Bedeutung für Sie

Sie fragen sich, was genau ein sicherer Cloud Provider in Deutschland für Ihr Unternehmen sein kann? Nun, ein Cloud Provider ist erst einmal ein Unternehmen, das einen speziellen Cloud Computing-Dienst anbietet, nämlich virtualisierten RAM, CPU-Leistung und Speicherplatz vermietet. Warum es wichtig ist, dass der Cloud Provider ein unabhängiges deutsches Unternehmen mit deutschen Gesellschaftern ist und wieso deswegen Ihre Geschäftsgeheimnisse gut geschützt sind, erfahren Sie in diesem Artikel.

Sichere Cloud Provider stellen in Deutschland die Datensicherheit und die Datensouveränität ihrer Kunden in den Mittelpunkt ihres Handelns, führen regelmäßig interne Sicherheitsaudits durch, sind umfassend von unabhängigen Auditoren zertifiziert und ermöglichen auch ihren Kunden eigene Audits durchzuführen. Ein so aufgestellter Cloud Provider bietet Ihnen somit die Gewissheit, dass sensible Unternehmensdaten geschützt sind und die Kunden die Vorteile des Cloud Computings ohne Vorbehalte nutzen können.

Was macht einen deutschen Cloud Provider attraktiv?

In Deutschland profitieren wir von den hohen rechtsstaatlichen Standards einerseits sowie hohen technischen und regulatorischen Anforderungen andererseits. Dazu kommt ein Vertragswesen nach deutschem Recht. Konkret bedeutet dies, dass Ihnen die vertragliche Gestaltung, die Rechnungsstellung samt buchhalterischer Bearbeitung in Ihrem Unternehmen leicht gemacht wird. Dazu haben Sie die schon erwähnte Datensicherheit und Konformität mit rechtlichen Anforderungen. Kurz: Die Zusammenarbeit ist leicht und entspannt. Sie sind am Steuerrad.

Vorteile der Auswahl eines deutschen Cloud Providers

Wenn Sie sich Ihren Provider sorgfältig aussuchen und den bunten Werbeversprechen widerstehen, haben Sie ein virtuelles Datacenter bei einem Cloud Provider "Made by Germans". Nur Sie bestimmen dort, wer die Daten nutzen darf. Keine Regierung liest mit, kein Provider wertet Ihre Daten zu seinen ganz eigenen Zwecken aus. Das ist Ihre Datensouveränität. Wir sehen am Markt recht kreative Konstrukte, Datenschutz und Datensouveränität vorzugaukeln. Diese Angebote erläutern den Nutzern aber nicht, wie die werblichen Versprechungen des Anbieters die gesetzlichen Zugriffsrechte seiner Heimat-Regierung entkräften könnten. Denn auch die USA erhalten über Cloud Act, Section 702 FISA und anderen rechtliche Vorgaben weltweit Zugriff auf Server amerikanischer Unternehmen. Vor dem werblichen "Greenwashing" der Anbieter schützt nur Aufkärung, Skepsis und das genaue Lesen von Verträgen und Datenschutzerklärungen.

Ein weiterer Vorteil Ihrer Datensouveränität: Sie können ohne künstliche Hürden (sogenannte Provider- oder Vendor-Lock-ins) Ihre Daten jederzeit in einem marktüblichen Datenformat mitnehmen und in einem anderen Rechenzentrum wieder nutzen. Diese Freiheit bietet Uptime IT den Kunden seit der Firmengründung vor dreißig Jahren. In der EU wird eine entsprechende Regelung erst ab 2024 durch den Digital Service Act in einem Kraftakt umgesetzt, dem insbesondere abhängige Anbieter mit Wurzeln in Übersee nur begrenzt nachkommen können.

Datenschutzbestimmungen und die Rechtslage in Deutschland

In Deutschland und der EU steht in der öffentlichen Diskussion der Datenschutz im Vordergrund. Dieser bezieht sich aber ausschließlich auf personenbezogene Daten. Für Unternehmen sind jedoch vor allem ihre Geschäftsdaten (Verträge, Marketinganalysen, Konstruktionspläne, Programmcode u.v.m) von noch viel größerer Bedeutung. Daher ist es wichtig, dass nur das Unternehmen selbst die Daten in der Cloud einsehen kann und nicht unbemerkt Sicherheitsbehörden, Nachrichtendienste oder der Provider darauf zugreifen.

Beinahe alle komerziellen (Cloud-)Anwendungen verarbeiten auch personenbezogene Daten. Es ist folglich wichtig, dass mit dem Cloud Provider ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 Satz 1 DSGVO geschlossen wird. Darin sollte der Verantwortliche (also der Cloud-Kunde) Kontrollrechte haben und ein Transfer der Daten in Drittstaaten durch den Cloud-Provider ausgeschlossen sein. Prüfen Sie, wie Sie als gesetzlich Verantwortlicher bei den Tech-Giganten Ihre Kontrollrechte wahrnehmen können. Ein Blick auf die rechtskräftigen und noch anhängigen Bußgeldbescheide der unterschiedlichsten Behörden Europas an diese Unternehmen sollte Ihr Bild vor einer Entscheidung vervollständigen.

Zertifizierungen und Standards für sichere Cloud-Provider

Damit Unternehmen sich nicht alleine auf Zusagen der Cloud Provider verlassen müssen, gibt es ISO-Zertifizierungen durch unabhängige Zertifizierungsstellen wie dem TÜV. Von Bedeutung sind für die Informationssicherheit die ISO 27001, die aktuell von der Fassung 2013 in die Fassung 2022 überführt wird. Seit 2024 sind nur noch die Zertifizierungen nach ISO27001:2022 zulässig.Zusätzliche Anforderungen stellt eine Prüfung nach dem Standard C5 des BSI (Bundesamt für Sicherheit in der Informationstechnologie). Um dieses Testat zu erhalten, braucht es einen umfassenden organisatorischen, prozessualen und technischen Aufwand. Überprüft wird das interne Kontrollsystem eines Cloud Providers mit einer Terstierung nach ISAE 3402. Die Testierung nach Typ 2 ist dabei der Goldstandard, denn es wird hierbei überprüft, dass die Vorgaben über den gesamten Prüfzeitraum eingehalten wurden und nicht nur am Stichtag (Typ 1).

Kundensupport und Servicequalität

Der Aufbau einer IT-Infrastruktur oder eines umfänglichen Software-Defined-Datacenter ist komplex. Daher ist ein Cloud Provider hilfreich, der als Dienstleister beratend und unterstützend zur Seite stehen kann. Es geht ja nicht nur darum, virtuelle Maschinen zu betreiben, sondern eine gehärtete Umgebung aufzubauen, die den eigenen Sicherheitsanforderungen entspricht. Im späteren Tagesgeschäft gibt es auch immer wieder Vorkommnisse, die schneller und einfacher zu lösen sind, wenn der Cloud Anbieter persönlichen Support liefert. Ein guter Provider weist seine Servicequalität und sein Qualitätsmanagement anhand der Zertifizierungen nach ISO 20000 und 9001 nach. Bietet Ihnen der Provider nicht den erwähnten Support oder die Beratung, so sind vielfach die Kunden auf zusätzliche externe Beratungsunternehmen angewiesen. Je nach Ihrem Vorhaben und eigenen Strukturen sind dies Kosten, die Sie durch Auswahl eines guten Cloud Providers einsparen oder deutlich verringern können.

Praktische Tipps zur Auswahl eines sicheren Cloud Providers

Es gibt einige wenige Grundregeln, mit denen Sie sich einen sicheren Cloud Provider für Ihre Geschäftsanwendungen aussuchen können:

Ist das Unternehmen unabhängig von ausländischen Muttergesellschaften und hat nur inländische Gesellschafter - Das bekommen Sie schnell über Suchmaschinen und frei zugängliche Auskunfteien heraus.
Hat das Unternehmen seinen Sitz und die Rechenzentren in Deutschland? - Hat das Unternehmen mindestens eine gültige Zertifizierung nach ISO 27001, deren Anwendungsbereich die für Sie wichtigen Dienstleistungen abdeckt? - steht auf dem ISO-Zertifikat selbst - Wird das Unternehmen regelmäßig nach ISAE 3402 Typ 2 testiert? - Bekommen Sie persönlichen Support? - Können Sie jederzeit Ihre Workload von dem Cloud Provider downloaden und bei einem anderen problemlos installieren?
Entsprechen Rechnung, AGB, AVV und andere vertragliche Regelungen deutschem Recht und haben Sie die Möglichkeit, dass der Anbieter auf Ihre individuellen Anforderungen eingeht?

Fazit: Worauf es bei der Wahl eines Cloud Providers in Deutschland ankommt

Cloud Provider gibt es viele. Größe und Bekanntheit sind keine guten und erst recht keine entscheidenden Auswahlkriterien. Achten Sie bei Ihrer Entscheidung auf Ihre Anforderungen, insbesondere in Hinblich auf Datensicherheit und -souveränität. Überprüfen Sie, ob sich der ausländische Provider eventuell sogar in seinem Vertragsrecht einen Zugang zu Ihren Daten bzw. die Nutzung Ihrer Daten zusichern lässt? Haben Sie überhaupt die Möglichkeit, Ihr Recht bei dem Anbieter durchzusetzen oder vertragliche Anpassungen zu verhandeln?

Sie sollten die oben genannten Kriterien und Tipps auf keinen Fall außer Acht lassen, wenn Ihr Cloud-Projekt erfolgreich und für Sie zufriedenstellen verlaufen soll. Dann gibt es keinen Grund, dass Cloud Computing nicht genauso sicher ist wie das eigene Rechenzentrum on-premise. Sie können dann von der Technologie, Expertise, Erfahrung und Flexibilität Ihres künftigen Partners profitieren.

VMWare Hosting

Infrastructure as a Service (IaaS)

Managed Hosting

IT-Outsourcing

Private Cloud

Rechenzentren in Hamburg

Hosting am Backbone

Testdrive

Cloud Computing Made by Germans

Kubernetes as a Service

Kubernetes FAQ

Kubernetes Erfahrungsberichte

Managed Kubernetes aus Deutschland

Backup & Recovery

Notfallvorsorge

Colocation

Beratung

Services von A-Z

Verfügbarkeitsrechner

Bandbreitenrechner

Services für Sicherheit und Komfort

Unsere Kunden

Verfügbarkeit

Leistungsnachweise

Erfahrungsberichte

Kundenstimmen

Unsere Referenzen im Überblick

Fakten zu Uptime IT

Technologien

Zertifizierungen

Standorte

Unser Leitbild

Historie

Partner

Über Uptime IT