Bewertung von Cloud-Anbietern aus Sicht eines Start-ups Dr. Thomas King, audriga GmbH

Agenda Welcher Cloud-Anbieter ist der Richtige? Motivation Anforderungen von Start-ups Bewertungskatalog Bewertung am Beispiel Amazon AWS und Jiffybox

Welcher Cloud-Anbieter ist der Richtige? PaaS IaaS

Der Lock-In eines Cloud-Anbieters ist groß, da Rüstkosten hoch sind Motivation Warum ist die Auswahl des Cloud-Anbieters kritisch? Der Lock-In eines Cloud-Anbieters ist groß, da Rüstkosten hoch sind

Exkurs: E-Mail-Umzugsdienst von audriga Self-Service Umzugsdienst für E-Mails und PIM (Kontakte, Kalender, Aufgaben, Tasks) Start-up: Gegründet 2011 Anwendungsfälle: Cloud-zu-Cloud und On-Premise-zu-Cloud Migration E-Mail Migration ist komplex Nutzer wollen E-Mail Hoster wechseln Nutzer wollen bestehende Daten nicht verlieren

Anforderungen von Start-ups Hohe Automatisierung Geringe Kosten Flexibilität Geringe Einarbeitung

Bewertungskatalog Technische Aspekte Ökonomische Aspekte Funktionalität (IaaS: Windows, Linux; PaaS: Datenbank, verteiltes Dateisystem, Application-Server, CDNs) Skalierbarkeit (Horizontal, Vertical, Elastisch) Automatisierung (High-Level Services, API) Monitoring (API, Console) Weltweite Verteilung (RZs ins verschiedenen Ländern) Hochverfügbarkeit (von IaaS bis PaaS) Ökonomische Aspekte Setup Kosten Monatliche Kosten Pay-As-You-Go Rechtliche Aspekte SLAs Datenschutz Datenhaltung / IP-Adressen Zertifikate

Funktionalität IaaS: PaaS: Betriebssysteme: Linux, Windows (verschiedene Versionen) Verschiedene CPU / RAM Konfigurationen Backup der VM Feste IP(s) Verschiedene / zusätzliche Festplatten Hochverfügbarkeit Vorkonfigurierte Profile Monitoring (CPU, Datendurchsatz Festplatte, Netzwerkauslastung) PaaS: Applicationserver (J2EE, Php) Datenbankserver (SQL, noSQL) Verteiles Dateisystem Automatische Skalierbarkeit

Funktionalität bei Cloud-Anbietern IaaS: Betriebssysteme: Linux, Windows Verschiedene CPU / RAM Konfigurationen Backup der VM Feste IP(s) Verschiedene / zusätzliche Festplatten Hochverfügbarkeit Vorkonfigurierte Profile Monitoring (CPU, …) PaaS: Applicationserver (J2EE, Php) Datenbankserver (SQL, noSQL) Verteiles Dateisystem Automatische Skalierbarkeit Rießige Auswahl Begrenzt, kein MS Rießige Auswahl Begrenzt, max 6 CPUs Ja Ja Ja Ja Ja Nein Ja Nein Ja Ja Ja Ja, keine API Ja Nein Ja Nein Ja Nein Ja Nein Unfair

Dies ist keine Rechtsberatung! Datenschutz BDSG: Betrifft nur personenbezogene Daten (z.B. IP Adressen) Cloud-Anbieter vs. Personenbezogene Daten Nicht erlaubt: Weitergabe von Daten an Dritte, die diese ohne Auftrag selber weiter nutzen dürfen. Erlaubt: Die personenbezogenen Daten werden an einen Dritten weiter gegeben, aber mit dem Auftrag diese nur für einen bestimmten Zweck zu speichern und zu verarbeiten. Der Beauftragte hat zu den Besitzern der Daten keine eigene vertragliche oder vertragsähnliche Beziehung. Dieses Modell ist vorherrschend bei der geschäftlichen Nutzung von Cloud-Diensten. → Vertrag zu Auftragsdatenverarbeitung mit Cloud-Anbieter Pflichten des Auftraggebers Prüfen der "8 goldenen Regeln" des Datenschutzes (§9 BDSG) beim Cloud-Anbieter Schriftliche Dokumentation des Vertrages zur Auftragsdatenverarbeitung (§11 BDSG) Auftraggeber prüft regelmäßig die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer (§11 Abs. 2 BDSG) Praxis: Der Auftraggeber muss jederzeit ein ausführliches und rechtskonformes Gutachten über die Einhaltung der Standards vorlegen können. → z.B. ein IT-Sicherheits- oder Datenschutz Zertifikat vom Cloud-Anbieter Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Im zweiten Fall spricht man auch von personenbeziehbaren Daten. Weitergabe von Daten an Dritte, die diese ohne Auftrag selber weiter nutzen dürfen. Dies darf nach dem BDSG in aller Regel nur erfolgen, wenn die jede einzelne Person der Weitergabe von personenbezogenen Daten zu stimmt. Dies trifft bei Cloud-Anbietern in der Regel nicht auf. §9 BDSG verlangt, das man seinen Vertragspartner für die Auftragsdatenverarbeitung unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählt. Zu prüfen sind die 8 goldenen Regeln des Datenschutz (s. Anlage zu §9 BDSG): Zutritt Zugang Zugriff Weitergabe Eingabe Auftrag Verfügbarkeit Trennungsgebot

Datenschutz nach BDSG bei Cloud-Anbietern Auftragsdatenverarbeitung Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Im zweiten Fall spricht man auch von personenbeziehbaren Daten. Weitergabe von Daten an Dritte, die diese ohne Auftrag selber weiter nutzen dürfen. Dies darf nach dem BDSG in aller Regel nur erfolgen, wenn die jede einzelne Person der Weitergabe von personenbezogenen Daten zu stimmt. Dies trifft bei Cloud-Anbietern in der Regel nicht auf. §9 BDSG verlangt, das man seinen Vertragspartner für die Auftragsdatenverarbeitung unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählt. Zu prüfen sind die 8 goldenen Regeln des Datenschutz (s. Anlage zu §9 BDSG): Zutritt Zugang Zugriff Weitergabe Eingabe Auftrag Verfügbarkeit Trennungsgebot PCI DSS Level 1 ISO 27001 SAS 70 Type 1 HIPAA Zertifikate

Zusammenfassung Die Auswahl des Cloud-Anbieters ist kritisch, da ein Wechsel oft nicht einfach Die Anforderungen an einen Cloud-Anbieter sind vielfältig Die Auswahl eines Cloud-Anbieters ist nicht einfach Nationale Besonderheiten (z.B. Datenschutz) sind zu beachten Auch kleinere Anbieter können gute Dienste erbringen

audriga GmbH Dr. Thomas King king@audriga.com +49 721 170 293 172