Dieser Beitrag wurde ursprünglich am 25.09.2023 veröffentlicht und am 06.06.2024 aktualisiert.
Veraltete Systeme und mangelndes technisches Personal bei stetig wachsenden Anforderungen. Dieser Zustand ist weit verbreitet im medizinischen Bereich, insbesondere in Krankenhäusern. Ein möglicher Ausweg wäre eine Migration in die Cloud. Aber wie ist es um die IT-Sicherheit und Ausfallsicherheit in der Cloud bestellt? Und waren da nicht Probleme mit dem Datenschutz? In diesem Blogpost möchten wir mit altbekannten Vorurteilen aufräumen und eine differenzierte Betrachtung auf die Eignung von freien Cloud-Anbietern (Public Cloud Provider) für klinische Anwendungsfälle ermöglichen.
Das derzeitige Problem
„Kein Notarztwagen, keine Hubschrauber, keine Krankenwagen kamen mehr, alle Ambulanzen waren geschlossen.“ So beschreibt der ärztliche Direktor Frank Schneider die Folgen eines Hackerangriffes auf die Uniklinik Düsseldorf im September 2020. [1] Eine Sicherheitslücke im System verschaffte den Hackern Zugang auf das System und die dahinterliegenden Netzwerke. Fatal, aber laut dem Bundesamt für Informationstechnik (BSI) wäre dies vermeidbar gewesen. Die Einhaltung des BSI IT-Grundschutzes hätte genügt, um die Klinik vor diesem Angriff zu schützen. [2]
Klar ist: Die Einrichtung, Sicherung und Wartung eigener Server ist anspruchsvoll. Es benötigt technisches Personal, an dem es häufig mangelt. Darüber hinaus sollten die Systeme für neue Anforderungen gerüstet sein. Dazu gehört der Umgang mit einem Zuwachs an Daten, welche gespeichert und verarbeitet werden müssen. Ebenso besteht ein Anreiz, die Infrastruktur von Einrichtungen zu vereinen, um den Betrieb zu verschlanken und Einrichtungen zu vernetzen.
Die Cloud könnte die Alternative sein, um aktuelle und zukünftige Probleme anzugehen. Cloud-Anbieter bieten Kliniken eine sichere Lösung mit skalierbarer Infrastruktur, die es ihnen ermöglicht, sich auf die Anwendungsebene zu konzentrieren.
Allerdings haben laut einer Umfrage von KPMG Deutschland (2021) die meisten Unternehmen, die keine Public-Cloud-Lösung nutzen, Bedenken im Bereich Sicherheit und Compliance. Davon befürchten 75 % unberechtigte Datenzugriffe; 67 % empfinden Unklarheiten hinsichtlich der Rechtslage, und 60 % vermuten, dass bestehende rechtliche und regulatorische Bestimmungen gegen den Cloud-Einsatz sprechen. [3] Es ist davon auszugehen, dass diese Bedenken im Gesundheitsbereich tendenziell ausgeprägter sind.
Wir vermuten, dass der größte Treiber dieser Bedenken das mangelnde Wissen über diese, zugegebenermaßen sehr komplexen, Themen ist. Um dem zu begegnen, unternehmen wir in diesem Blogpost den Versuch einer möglichst kondensierten, aber trotzdem verständlichen, Zusammenfassung der wichtigsten Themen. Wir werden zeigen, was es bei Datenschutz, IT-Sicherheit und Ausfallsicherheit zu beachten gibt, und vergleichen bestehende Cloud-Anbieter für ihre Eignung im medizinischen Bereich.
IT-Sicherheit
Wie ist erkennbar, ob eine Cloud sicher ist und für welche Aspekte der Kunde selbst verantwortlich ist? Dafür gibt es auf Seiten des Anbieters Testate bzw. Zertifikate. Besonders erwähnenswert sind dabei der Kriterienkatalog C5 sowie ISO/IEC 27001. Außerdem gehen wir kurz auf das Konzept der Shared Responsibility ein.
C5
Das BSI hat den Kriterienkatalog C5 (Cloud Compliance Criteria Catalogue) definiert. Er legt Mindestanforderungen für sicheres Cloud Computing fest. Eine C5 Attestierung entwickelt sich unserer Erfahrung nach aktuell zu einem De-facto-Mindeststandard für Cloud-Anwendungen im klinischen Bereich. Die Erfüllung der Kriterien kann testiert werden. C5 umfasst mehrere andere Sicherheitsstandards, darunter den BSI IT-Grundschutz und den wohlbekannten ISO/IEC 27001.
ISO/IEC 27001
Während der C5 spezifisch für Cloud Computing festgelegt wurde und von einer deutschen Behörde stammt, ist die ISO/IEC 27001 ein internationaler und bereichsübergreifender Standard für die Einrichtung, Implementierung, den Betrieb und die Verbesserung eines Informationssicherheitsmanagementsystem (ISMS). Der C5 orientiert sich an Anhang A der ISO 27001 und ist insgesamt näher an der konkreten Implementierung.
Shared Responsibility
Das Prinzip der geteilten Verantwortung ist ein Standardkonzept, welches die Aufteilung der Verantwortlichkeiten zwischen einem Cloud-Anbieter und dessen Anwender in Bezug auf die Verwaltung und Sicherung der Cloud-Umgebung definiert. Dieser Grundsatz gilt für verschiedene Cloud-Service-Modelle, darunter Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Alle drei haben gemein, dass das Rechenzentrum durch den Cloud-Anbieter verwaltet wird und dieser die volle Verantwortung dafür trägt. Bei PaaS übernimmt der Cloud-Anbieter zusätzlich noch die Verantwortung auf System und Netzwerkebene und bei SaaS liegt die komplette Bereitstellung der Anwendung in der Verantwortung des Cloud-Anbieters.
Wenn der Anwender also z. B. eine IaaS-Lösung verwenden möchte, muss dieser sich keine Gedanken über die Aufstellung, den Betrieb oder die Sicherung der Server machen, da der Cloud-Anbieter für diese verantwortlich ist. Für alles, was der Anwender auf dieser Infrastruktur betreibt, ist er selbst verantwortlich.
Weiterführende Links zu Shared Responsibility: Amazon AWS, Microsoft Azure, Google Cloud, Open Telekom Cloud.
Datenschutz
Unter diesem Punkt betrachten wir relevante Aspekte der DSGVO, die sich auf die Nutzung eines Cloud-Anbieters beziehen. Ein besonderes Augenmerk wird auf die mögliche Verwendung von US-Anbietern gelegt.
Artikel 9
Die DSGVO regelt die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten, die in Artikel 9 aufgeführt sind. Gesundheitsdaten fallen in diese besondere Kategorie. Artikel 9, Absatz 1 der DSGVO legt ein allgemeines Verbot für die Verarbeitung solcher Daten fest. Die nachfolgenden Absätze beschreiben die Ausnahmen. Zu diesen Ausnahmen gehören die ausdrückliche Einwilligung, ein lebenswichtiges Interesse, die Notwendigkeit für die Sozialversicherung und ein erhebliches öffentliches Interesse. Folglich ist eine Verarbeitung gesundheitsbezogener Daten in Deutschland nur in einem durch diese Ausnahmen spezifizierten Fall überhaupt erlaubt.
Datenschutz-Folgenabschätzung
Nach Artikel 35 DGSVO erfordert die Verarbeitung von Daten, die unter Artikel 9 fallen, eine Datenschutz-Folgenabschätzung (DSFA). Zweck der DSFA ist es, potenzielle Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten zu bewerten und zu mitigieren, um den Schutz der Rechte natürlicher Personen auf Privatsphäre zu gewährleisten. Es handelt sich um einen obligatorischen Schritt, der vor jeder Verarbeitungstätigkeit durchgeführt werden muss. Die DSFA sollte den Zweck der Datenverarbeitung und die beteiligten Parteien klar definieren und dokumentieren, potenzielle Risiken im Hinblick auf Wahrscheinlichkeit und Schweregrad bewerten und geeignete Maßnahmen zur Risikominderung darlegen. Zu diesen mitigierenden Maßnahmen können eine gründliche Verschlüsselung und eine Pseudonymisierung gehören.
Rollenverteilung
Die DSGVO definiert eine Unterscheidung zwischen den Verantwortlichen (z. B. Krankenhaus) und einem Auftragsverarbeiter (z. B. Cloud-Anbieter). Die verantwortliche Person entscheidet über die Mittel und Zwecke von personenbezogenen Daten. Die auftragsverarbeitende Person prozessiert die Daten im Auftrag der verantwortlichen Person.
Um die Rechtskonformität und die ordnungsgemäße Zusammenarbeit zwischen diesen Rollen zu gewährleisten, müssen zwei wichtige Anforderungen erfüllt werden:
- Erstens muss die auftragsverarbeitende Person die in der DSGVO festgelegten Pflichten erfüllen. Dies bedeutet, dass er die einschlägigen Datenschutzvorschriften einhalten und angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ergreifen muss.
- Zweitens muss zwischen der verantwortlichen Stelle und der auftragsverarbeitenden Person eine vertragliche Vereinbarung, der sogenannte Auftragsverarbeitungsvertrag (AVV), geschlossen werden.
Auftragsverarbeitungsvertrag (AVV)
Der AVV definiert den Zweck und den Umfang der Datenverarbeitung, legt Sicherheitsmaßnahmen fest, regelt die Vergabe von Unteraufträgen und skizziert Verfahren für die Meldung von Datenschutzverletzungen und den Umgang mit den Rechten der Betroffenen. Der AVV betont die Vertraulichkeit, ermöglicht Audits und regelt die Löschung von Daten. Diese Vereinbarung stellt sicher, dass personenbezogene Daten rechtmäßig, sicher und in Übereinstimmung mit den Datenschutzbestimmungen verarbeitet werden.
Cloud-Anbieter stellen in der Regel eine Standard-AVV zur Verfügung. Internationale Organisationen bezeichnen diese üblicherweise als Data Processing Addendum (DPA). Es handelt sich in der Regel um ein separates Vertragsdokument oder eine Anlage zu dem Hauptvertrag.
Dieser AVV sollte zwingend darauf überprüft werden, ob es den eigenen Anforderungen genügt.
Europäische Anbieter
Die DSGVO ist eine Verordnung der EU. International ist sie als General Data Protection Regulation (GDPR) bekannt. Alle Cloud-Anbieter mit Sitz im europäischen Wirtschaftsraum (EWR) sind verpflichtet, die DSGVO umzusetzen. Die Übermittlung von personenbezogenen Daten an einen solchen Cloud-Anbieter ist somit rechtlich unproblematisch. Mit dem European Health Data Space (EHDS) möchte die EU die Interoperabilität und den Datenaustausch in der EU zusätzlich vorantreiben.
US-Anbieter
Es ist kein Geheimnis, dass der Markt von den Hyperscalern AWS, Azure und Google Cloud dominiert wird. Sie bieten zwar Server in Deutschland und der EU an, sind aber alle in den USA ansässig. Daher müssen wir ihre Vereinbarkeit mit der DSGVO genauer unter die Lupe nehmen.
Privacy Shield
Bis 2020 gab es das EU-US Privacy Shield, welches den Transfer von personenbezogenen Daten zwischen der EU und der US geregelt und vereinfachte. Es wurde allerdings im Juli 2020 vom Europäischen Gerichtshof (EuGH) invalidiert, wegen Bedenken über den Zugang der US-Regierung zu den Daten europäischer Bürger und das Fehlen ausreichender Rechtsmittel für EU-Bürger:innen im Falle von Verletzungen der Privatsphäre. Ein US-Gesetz, das zu dieser Sorge beigetragen hat, ist der CLOUD Act.
CLOUD Act
In 2018 wurde in den USA der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) eingeführt. Dieses Gesetz ermöglicht der US-Regierung, Zugang zu elektronischen Daten zu verlangen, die von Technologieunternehmen mit Sitz in den USA gespeichert werden, auch wenn die Daten auf Servern außerhalb der Vereinigten Staaten gespeichert sind. Dies benötigt allerdings ein Gerichtsurteil und muss dem Prinzip der Datenminimierung und Verhältnismäßigkeit folgen. Das Urteil darf angefochten werden, und wird von Cloud Anbietern i. d. R. angefochten.
Ein Grund für ein solches Gerichtsurteil könnte sein, dass eine US Behörde die Daten für die Ermittlung eines Verbrechens benötigt. Um ein Gefühl dafür zu vermitteln, wie häufig der CLOUD-Act genutzt wird, haben wir eine Stellungnahme von Microsoft Azure beigefügt:
In der ersten Hälfte des Jahres 2020 hat Microsoft insgesamt 91 Anfragen von Strafverfolgungsbehörden weltweit für Konten von Unternehmenskunden erhalten. In 42 Fällen wurden diese Anfragen abgelehnt, zurückgezogen oder die Strafverfolgungsbehörden wurden erfolgreich an den jeweiligen Kunden weitergeleitet. In 49 Fällen war Microsoft dazu gezwungen, die entsprechenden Informationen zur Verfügung zu stellen: 24 dieser Fälle erforderten die Offenlegung von Kundeninhalten, 25 der Fälle erforderten nur die Offenlegung von Informationen, die keine Inhalte enthielten. Von den 24 Fällen, in denen die Offenlegung von Inhaltsdaten erforderlich war, standen 20 dieser Anfragen im Zusammenhang mit US-Strafverfolgungsbehörden. [4]
Standardvertragsklauseln (SCCs)
Nachdem das Privacy Shield aufgehoben wurde und bevor das Data Privacy Framework eingeführt wurde, wurden Standardvertragsklauseln verwendet, um personenbezogene Daten in die USA zu übertragen. Diese Klauseln, auch SCCs genannt, werden von der Europäischen Kommission bereitgestellt und bieten einen klaren und rechtlich sicheren Rahmen für die internationale Datenübermittlung. Sie stellen sicher, dass personenbezogene Daten gemäß den Datenschutzstandards der EU geschützt werden. Es ist wichtig zu beachten, dass diese Klauseln unverändert in den Vertrag übernommen und anderen Vertragsklauseln vorgezogen werden müssen.
Neben den SCCs war vor dem Data Privacy Framework auch eine Transfer Impact Assessment notwendig (TIA). Die TIA ist eine strukturierte Risikobewertung eines Datentransfers. Die SCCs und die TIA sind weiterhin für Drittländer, d.h. Länder außerhalb des EWR ohne Angemessenheitsbeschluss notwendig. Dies gilt sogar dann, wenn nur ein deutsches Rechenzentrum eines Anbieters mit Sitz in einem Drittland verwendet wird.
Data Privacy Framework
Im Oktober 2022 wurde die Executive Order 14086 „Enhancing Safeguards for United States Signals Intelligence Activities“ erlassen. Die Executive Order stärkt den Schutz der Privatsphäre und der bürgerlichen Freiheiten und stellt sicher, dass nachrichtendienstliche Aktivitäten für definierte nationale Sicherheitsziele durchgeführt werden, die Rechte der Privatsphäre respektieren und in einem angemessenen Verhältnis zu nachrichtendienstlichen Prioritäten stehen. Sie sieht einen Mechanismus vor, mit dem Einzelpersonen Rechtsmittel einlegen können, wenn ihre personenbezogenen Daten unter Verletzung geltenden US-Rechts erhoben wurden. Mit der geänderten Rechtslage kam es auch zu einer Neubewertung eines transatlantischen Abkommens.
Seit Juli 2023 gibt es das Data Privacy Framework als Nachfolger des Privacy Shields. In diesem Framework hat die Europäische Kommission einen Angemessenheitsbeschluss für zertifizierte Unternehmen in den USA erklärt. Dieser Angemessenheitsbeschluss erlaubt es nach Artikel 45 DSGVO personenbezogene Daten an ein Drittland zu übermitteln. Unter den zertifizierten Unternehmen befinden sich auch Google, Microsoft, und Amazon. Das bedeutet, dass eine Datenübermittlung an diese Unternehmen keine Standardvertragsklauseln oder ein Transfer Impact Assessment (TIA) mehr benötigen. Bestehenden SCCs könnten allerdings als zusätzliche Absicherung dienen.
Da ein transatlantisches Abkommen schon zweimal gekippt wurde, ist es nicht undenkbar, dass dies wieder geschieht. Solange das Abkommen gültig ist, bringt es allerdings eine große Erleichterung bei der Verwendung zugelassener US Public Clouds. Dennoch hat auch vor dem Data Privacy Framework eine US Public Cloud ihren Weg in ein deutsches Klinikum gefunden.
Early Adopter
Als erstes deutsches Klinikum betreibt das Fachklinikum Mainschleife seit 2023 ihr Krankenhausinformationssystem (KIS) in der AWS-Cloud. Die Entscheidung wurde von der Klinik vorher gründlich anhand der strengen bayerischen Datenschutzrichtlinien geprüft. Die Daten werden in Servern in der Region Frankfurt gespeichert. Die Migration gelang in nur 12 Monaten und übertraf damit den ursprünglichen Zeitrahmen von 18 Monaten. [5]
Eine signifikante Kosteneinsparung ist ebenfalls erkennbar. Durch die Verwendung des S3 Speichers erwartet das Klinikum eine 10-fache Reduktion der Speicherkosten. Auch bei der Verschlüsselung, welche für die Compliance notwendig ist, konnten sie durch den Cloud Service, AWS Key Management System (AWS KMS) Kosten sparen. Dieser kostet 3-4 EUR im Monat. Eine eigene Lösung würde eine Investition von 70.000-80.000 EUR bedeuten, zuzüglich der Betriebskosten. Auch die Krankenhausangestellten werden zeitlich entlastet, da sie weniger Papierkram zu erledigen haben. [5]
Ausfallsicherheit
Was ist, wenn die Cloud ausfällt oder die Internetverbindung nicht funktioniert? Eine weit verbreitete Sorge ist, dass Verfügbarkeit bei einem Public-Cloud-Anbieter weniger zuverlässig sein könnte als eine Inhouse-Lösung.
Zunächst einmal muss die Entscheidung für eine Cloud keine Alles-oder-Nichts-Entscheidung sein. Auch eine Mischform aus minimaler lokaler Infrastruktur, ergänzt durch einen Cloud-Anbieter, ist häufig eine sinnvolle Lösung. Ein solches Setup bezeichnet man als Hybrid Cloud. Kritische Daten, wie beispielsweise ein Medikationsplan, könnten sowohl auf der lokalen Infrastruktur als auch in der Cloud gespeichert und in regelmäßigen Abständen synchronisiert werden. Für andere Daten ist es möglicherweise nicht so tragisch, wenn sie für ein paar Stunden nicht abrufbar sind. Diese Daten könnten dann exklusiv auf der Cloud gespeichert werden. Somit wird der Bedarf an lokaler Infrastruktur deutlich gekürzt, ohne größere Abstriche bei der Ausfallsicherheit zu machen.
Ein Ausfall der Cloud-Infrastruktur an sich für einen längeren Zeitraum ist übrigens extrem unwahrscheinlich. Häufig garantieren Cloud-Anbietern in ihren Service Level Agreements (SLAs) Uptimes zwischen mind. 99,9 % (Three Nines) bis zu mind. 99,99 % (Four Nines).
Verfügbarkeit | Ausfalllzeit Jahr | Ausfallzeit Monat | Ausfallzeit Woche |
---|---|---|---|
99,999 | 5,26 Min. | 0,44 Min. | 0,10 Min. |
99,990 | 52,56 Min. | 4,38 Min. | 1,01 Min. |
99,950 | 4,36 Std. | 21,9 Min. | 5,05 Min. |
99,900 | 8,76 Std. | 43,8 Min. | 10,11 Min. |
99,500 | 43,8 Std. | 3,65 Std. | 50,54 Min. |
Diese Zahlen spezifizieren keinen Durchschnitt, sondern ein Minimum, das nicht unterschritten werden sollte. Die tatsächliche Ausfallzeit wird also durchschnittlich noch geringer ausfallen. Wenn Cloud-Anbieter die SLAs nicht einhalten, wird Ihnen üblicherweise ein Prozentsatz der monatlichen Servicegebühren gutgeschrieben. Somit besteht ein starker Anreiz, eine hohe Uptime aufrechtzuerhalten. Grundsätzlich ist die Ausfallsicherheit bei einem Cloud-Anbieter, unter Berücksichtigung einiger Besonderheiten, also vermutlich sogar eher geringer als bei einer lokalen Infrastruktur.
Eine Besonderheit ist, dass die Anbindung an die Cloud-Infrastruktur über eine Internetverbindung geschieht. Entsprechend ist es wichtig, eine redundante und stabile Internetanbindung sicherzustellen. Kliniken können sich dafür entscheiden, (geo-)redundante Internetanbindungen von mehreren Internetanbietern zu nutzen. Diese Redundanz stellt sicher, dass die Klinik bei Problemen oder Ausfall eines Internetanbieters nahtlos auf die Backup-Verbindung umschalten kann, um wichtige Dienste ohne größere Unterbrechungen aufrechtzuerhalten. Georedundanz bedeutet, dass die redundanten Internetverbindungen nicht nebeneinander liegen sollten, um beispielsweise einer gleichzeitigen Durchtrennung beider Leitungen vorzubeugen.
Vergleich
Die Auswahl des am besten geeigneten Cloud-Anbieters für den deutschen Markt erfordert eine sorgsame Berücksichtigung der spezifischen Anforderungen:
- Angesichts des hohen gesetzlichen Schutzes von Gesundheitsdaten muss der gewählte Cloud-Anbieter die DSGVO-Vorschriften erfüllen und sollte die Richtlinien für sicheres Cloud Computing (C5, ISO/IEC 27001) einhalten.
- Um den Entwicklungs- und Verwaltungsaufwand in der Cloud möglichst niedrig zu halten, sollten, neben dem obligatorischen Cloud Filesystem (Blob Storage), Services für den Aufbau von Datenbanken und dem deployment von Containern (z. B. Kubernetes) verfügbar sein.
- Bevorzugt, gerade von Entwickler:innen, werden ausgereifte Cloud-Anbieter. Dabei dient ein Terraform-Provider als Heuristik für die Bewertung der Reife. Terraform, ein Infrastructure-as-Code (IaC)-Tool, ermöglicht die deklarative Bereitstellung und Verwaltung von Cloud-Infrastrukturen und demonstriert das Engagement für Interoperabilität, Benutzerfreundlichkeit und die Anpassung an die Best Practices der Branche – ein Kennzeichen für einen ausgereiften und kundenorientierten Cloud-Anbieter.
Name | Sitz | Zertifikat/Testat | Managed Database | Compute (z. B. Container) | Terraform Provider | Anwendungen |
---|---|---|---|---|---|---|
Amazon Web Services (AWS) | US | C5 | ✓ | ✓ | ✓ | Fachklinikum Mainschlaife |
Microsoft Azure | US | C5 | ✓ | ✓ | ✓ | |
Google Cloud Platform (GCP) | US | C5 | ✓ | ✓ | ✓ | |
Open Telekom Cloud (OTC) | D | C5 | ✓ | ✓ | ✓ | Corona Warn App |
Telekom Healthcare Cloud (THC) | D | ISO 27001 | ✓ | ✓ | ╳ | u. A. Klinikum Esslingen |
IONOS | D | C5 (Services Compute Engine, Cloud Cubes & S3 Object Storage) | ✓ | ✓ | ✓ | |
StackIT | D | C5 | ✓ | ✓ | ✓ | Honic |
OVHCloud | FR | C5 | ✓ | ✓ | ✓ |
Hinweise:
- Die Telekom Healthcare Cloud (THC) basiert zumindest teilweise auf der Open Telekom Cloud (OTC). Dabei ist es allerdings streng genommen nicht der Fall, dass das C5 Zertifikat der OTC auch für die THC gilt.
- AWS ist C5 zertifiziert u. A. in den Regionen Frankfurt, Paris, und Irland für die meisten Services.
- Azure ist C5 zertifiziert für die meisten ihrer Services.
- GCP ist C5 zertifiziert für die meisten ihrer Services.
- IONOS und StackIT streben beide eine C5 Testierung an
Honic setzt auf StackIT, um eine eigene Gesundheitsdatenplatform zu entwickeln, welche sich an den Vorgaben des European Health Data Space (EHDS) orientiert, aber nicht die offizielle Implementierung dessen ist.
Fazit
Die Cloud adressiert viele der derzeitigen Herausforderungen im medizinischen Bereich, welche sich langfristig kaum durch Inhouse Infrastruktur lösen lassen. Die Wahl des richtigen Anbieters hängt insbesondere von den individuellen Anforderungen ab. Zwischen den ausgewählten Cloud Anbietern gibt es keinen Gesamtsieger. Zudem könnte sich die Attraktivität eines Cloud-Anbieters in Zukunft verändern. IONOS und StackIT streben beide ein C5 Testat an und könnten somit zukünftig noch attraktiver werden. Mit dem Data Privacy Framework gewinnen AWS, Azure, sowie die Google Cloud momentan an Attraktivität, wobei die Frage nach der Langlebigkeit des Data Privacy Frameworks weiterhin ungewiss ist. Abgesehen von der grundsätzlichen Wahl eines Cloud-Anbieters kommt es darauf an, wie dieser genutzt wird, um Datenschutz, Ausfallsicherheit und guten Service zu gewährleisten.
tl;dr
Was mache ich, wenn ich mir den Sprung in die Cloud grundsätzlich vorstellen könnte?
- Artikel lesen
- Bei Fragen gerne auf uns zukommen
- Gedanken zu Ausfallsicherheit machen
- Prinzip der Shared Responsibility verstehen
- Datenschutz-Folgeabschätzung durchführen
- Notwendige Zertifizierung checken (siehe Vergleich)
- Bei Präferenz für US Anbieter
- Aktuellen Zustand des Data Privacy Frameworks checken
- Ggf. SCCs als Sicherheitsnetz in Vertrag einbauen
- Auftragsverarbeitungsvertrag (AVV) des Anbieters auf Eignung checken und abschließen
Referenzen
[1] Vivien Leue, Der Hackerangriff auf die Uniklinik Düsseldorf und die Folgen (2020)
[2] BSI: Hackerattacke auf Uniklinik wäre verhinderbar gewesen (2021)
[3] KPMG Cloud-Monitor 2021 (2021)
[4] Ralf Wigand, Im Daten-Dschungel: Wie Microsoft mit dem CLOUD Act umgeht (2021)
[5] How Fachklinikum Mainschlaife Migrated Its Hospital Infrastructure to AWS (2023)