Jusletter IT

Die neuen Standards für die Cloud - Vom Yeti zum Yak

  • Author: Árpád Geréd
  • Category: Articles
  • Region: Austria
  • Field of law: E-Commerce
  • Collection: Tagungsband-IRIS-2013
  • Citation: Árpád Geréd, Die neuen Standards für die Cloud - Vom Yeti zum Yak, in: Jusletter IT 20 February 2013
Seitdem Cloud Computing immer größere Verbreitung findet, wird über die Etablierung von rechtlichen und technischen Standards für Cloud-Angebote gesprochen. Solche Standards sollen aber nicht (nur) der Regulierung dieser Angebote dienen. Sie sollen auch dazu beitragen, das Vertrauen in Cloud-Dienste zu stärken und damit die Akzeptanz steigern. Aus diesem Grund sind auch Anbieter und nicht zuletzt die Europäische Union an solchen Standards interessiert. Letztere verspricht sich dadurch vor allem eine höhere Wettbewerbsfähigkeit europäischer Angebote. Mittlerweile ist Europa bereits einige wesentliche Schritte in Richtung Cloud-Standards gegangen. In Österreich wurde vor kurzem unter Mitwirkung von unter anderem der EuroCloud Austria, des Austrian Standards Institutes und der Wirtschaftskammer Wien ein Empfehlungskatalog für Cloud-Verträge erstellt, der am 5. November 2012 öffentlich vorgestellt wurde. Auf europäischer Ebene hat die Europäische Kommission vor kurzem das European Telecommunications Standards Institute (ETSI) offiziell mit der Koordinierung der Erstellung von Cloud-Standards betraut. Dieser Artikel wird den österreichischen Empfehlungskatalog näher vorstellen und einen Überblick über die aktuellen Entwicklungen in Österreich und dem Stand der Dinge bei der ETSI geben.

Inhaltsverzeichnis

  • 1. Der Nebel um die Wolke
  • 1.1. Die Definition in der Fachwelt …
  • 1.2. … und das Verständnis der Nutzer
  • 2. Österreich
  • 2.1. Der Empfehlungskatalog
  • 2.2. Der Katalog im Detail
  • 2.2.1. Rahmenbedingungen
  • 2.2.2. Leistungserbringung
  • 2.2.3. Verrechnung
  • 2.2.4. Sicherheit
  • 3. Europa
  • 4. Zusammenfassung
  • 5. Literatur

1.

Der Nebel um die Wolke ^

1.1.

Die Definition in der Fachwelt … ^

[1]
Cloud Computing ist in aller Munde und doch ist es für viele nach wie vor ein unbekanntes Wesen, gewissermaßen ein Yeti der Technologie. Was also ist «Cloud Computing» eigentlich?
[2]
Nach der in der Special Publication 800-1451 veröffentlichten Definition des National Institute of Standards and Technology (NIST) lautet die Antwort wie folgt:

«Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.»2

[3]
Aus dieser Definition werden verschiedene charakteristische Eigenschaften, Servicemodelle sowie Einsatzmodelle abgeleitet.3 Man kann daher sagen, dass die oben wiedergegebene Definition lediglich die Spitze des (sehr komplexen) Eisbergs darstellt. Es verwundert daher nicht, dass die Definition durch 14 Revisionen gegangen ist und erst die 15. Version veröffentlicht wurde.

1.2.

… und das Verständnis der Nutzer ^

[4]
So sehr die obige Definition technisch versierten Kreisen helfen mag, so wenig hilft sie aber den Nutzer zu verstehen, was das Wolkenwesen «Cloud Computing» tatsächlich ist und vor allem, wie sie es für sich und ihr Unternehmen nutzbar machen können. Um das Verständnis der potentiellen Nutzer nahmen und nehmen sich bis heute verschiedene Leitfäden (beispielsweise jene der deutschen Bitkom4, oder der EuroCloud5) und Publikationen6 an.
[5]
Das Verständnis der Nutzer war aber dennoch anfangs vor allem von den potentiellen Risiken der Nutzung von Cloud-Diensten, allen voran datenschutzrechtlichen Bedenken, geprägt. So verwundert es nicht, dass in den vergangenen Jahren insbesondere Unternehmen skeptisch waren7 und sich besonders Rechtsanwälte in erster Linie mit der Frage konfrontiert sahen, ob die Nutzung von Cloud-Diensten im unternehmerischen Bereich überhaupt zulässig ist. Eine positive Botschaft war aber bei immer zu hören und half wohl zu einem nicht geringen Teil, das Interesse an Cloud Computing wachzuhalten, nämlich die Botschaft vom möglichen Einsparungspotential durch die Nutzung von Cloud-Diensten.
[6]
Mittlerweile werden die anfangs ubiquitären grundsätzlichen Bedenken immer weniger thematisiert. Vielmehr hat sich der Fokus hin zur rechtlichen Absicherung bei der Durchführung von Cloud Computing-Projekten verlagert. Ob dies darauf zurückzuführen ist, dass Unternehmen mittlerweile besser über die Möglichkeiten und Risiken der Nutzung von Cloud-Diensten informiert sind, oder ob durch die zunehmende Zahl an Cloud-Diensten für Unternehmen8 den Unternehmen (wenn auch nur gefühlt) kaum noch Alternativen zu Cloud-Lösungen bleiben, lässt sich nicht beantworten. Faktum ist jedoch, dass Unternehmer bei der Nutzung von Cloud-Diensten seltener die Frage stellen ob, sondern eher wie Cloud-Dienste für sie umsetzbar wären.9
[7]
Mit der zunehmenden Zahl von Unternehmen, die die Nutzung von Cloud-Lösungen in Betracht ziehen, steigt aber auch das Bedürfnis nach Standards im Bereich Cloud Computing.
[8]
Im internationalen Umfeld existieren bereits, vor allem aufgrund entsprechender Initiativen bei der International Organization for Standardization (ISO) Standards für einzelne Aspekte des Cloud Computing.10
[9]
In Europa hat die EuroCloud hat aufgrund der Nachfrage durch ihre Mitglieder bereits früh in Deutschland mit der Arbeit an Auditierungsstandards begonnen, die speziell auf Software as a Service-Lösungen abgestimmt waren. Diese Standards wurde erstmals im Jänner 2011 als «Euro-Cloud Star Audit» vorgestellt. Doch auch die Europäische Union hat dieses Bedürfnis bereits erkannt, weshalb die Europäische Kommission im Herbst 2012 das European Telecommunications Standards Institute (ETSI), das sich unter anderem auch für den GSM-Standard verantwortlich zeigte, mit der Koordinierung der Erstellung von Standards für Cloud Computing beauftragte.11

2.

Österreich ^

2.1.

Der Empfehlungskatalog ^

[10]
Auf Initiative der EuroCloud Austria fand sich im 03.02.2012 beim Austrian Standards Institute die Arbeitsgruppe 001.38 zusammen, eine Expertengruppe unter Beteiligung unter anderem der Wirtschaftskammer Wien – Fachverband UBIT und dem IT-Cluster Wien, um die Erstellung eines Kataloges von Empfehlungen für Verträge über Cloud-Dienste zu besprechen. Ziel dieses Kataloges sollte es sein, vor allem kleinen und mittelständischen Unternehmen eine komprimierte Zusammenstellung wesentlicher Qualitätskriterien zur Verfügung zu stellen, welche als Vertragsbestandteil in Allgemeine Geschäftsbedingungen oder Servicelevel Agreements übernommen werden können. Gleichzeitig sollte dieser Katalog Nutzer dabei unterstützen herauszufinden, ob ein von ihnen in Aussicht genommener Vertrag über Cloud-Dienste alle für sie relevanten Informationen enthält. Grundlage dieses Kataloges sollten in erster Linie die von der EuroCloud für den «EuroCloud Start Audit» entwickelten Kriterien darstellen.
[11]
Die Arbeitsgruppe einigte sich darauf, dass die Empfehlungen allgemein gehalten sein sollten, damit sie an die konkreten Dienste angepasst werden können. Dementsprechend sollte auch keine Sammlung an Musterklauseln geschaffen werden, welche mitunter nur für wenige Cloud-Dienste zur Gänze übernommen werden könnten.
[12]
Das Ergebnis dieser Arbeitsgruppe wurde schließlich in Form der Publikation «Cloud-Verträge - Was Anbieter und Kunden besprechen sollten» publiziert und im Rahmen des CloudKongresses am 5. November 2012 in Wien erstmals der Öffentlichkeit vorgestellt.12

2.2.

Der Katalog im Detail ^

[13]
Der Katalog befasst sich mit vier für das Vertragsverhältnis und die Leistungserbringung wesentlichen Bereichen: den Rahmenbedingungen, der Leistungserbringung, der Verrechnung sowie der Sicherheit.

2.2.1.

Rahmenbedingungen ^

[14]
Hier geht es in erster Linie darum, jene Information aufzulisten, welche dem Nutzer mitgeteilt werden sollen, um ihn ausreichend über seinen potentiellen zukünftigen Vertragspartner und die vertraglichen Grundlagen zu informieren.
[15]
So wird beispielsweise empfohlen, sämtliche an der Leistungserbringung beteiligten Unternehmen anzuführen. Weiters wird die detaillierte Regelung der möglichen Änderung von Vertragsbedingungen sowie vor allem auch der Vertragsbeendigung nahegelegt.
[16]
Besonders Letzteres ist bei Cloud-Diensten bereits bei Vertragsabschluss von größter Relevanz, zumal der Nutzer bereits im Vorfeld darüber Bescheid wissen sollte, in welcher Form und in welchem Zeitrahmen im Falle einer Vertragsauflösung er seine Daten wieder erlangen kann und vor allem in welchem Ausmaß den Anbieter eine Mitwirkungspflicht trifft.

2.2.2.

Leistungserbringung ^

[17]
Dieser Teil befasst sich vor allem mit den technischen Aspekten des Cloud-Dienstes. So werden Regelungen über die eingesetzte Infrastruktur, den Inhalt und Betrieb und vor allem über die Erreichbarkeit des Diensteanbieters empfohlen, um dem Nutzer besonders in Problemfällen die rasche Kontaktaufnahme mit kompetenten Ansprechpartnern zu ermöglichen.

2.2.3.

Verrechnung ^

[18]
Die Empfehlungen in diesem Abschnitt laufen im Wesentlichen darauf hinaus, die Verrechnung möglichst transparent und für den Nutzer nach Möglichkeit im Voraus kalkulierbar zu gestalten. Was banal klingt, kann sich besonders bei Cloud-Diensten als Herausforderung erweisen. Aufgrund verschiedenster Verrechnungsmodelle besteht zwar grundsätzlich ein großes Maß an Flexibilität. Diese birgt aber auch die Gefahr der Intransparenz und einer mitunter beachtlichen Kostensteigerung im Falle der unbedarften Nutzung der Flexibilität in sich.

2.2.4.

Sicherheit ^

[19]
Schließlich wird der Themenbereich behandelt, welcher nach der Wahrnehmung vieler Nutzer das größte Risikopotential enthält. Die Empfehlungen befassen sich mit Datenschutz, IT-Sicherheit und vor allem der Datensicherung sowie der Datenlöschung.
[20]
Vonseiten des Austrian Standards Institutes wurde zudem der Wunsch geäußert, die Ergebnisse der Arbeitsgruppe für die Erstellung von Normen im Bereich Cloud Computing heranzuziehen. Auch dieses Vorhaben steckt noch in den Kinderschuhen, allerdings wurde mit der Etablierung einer Arbeitsgruppe zumindest der Grundstein für dieses Vorhaben gelegt.

3.

Europa ^

[21]
Auf europäischer Ebene befasst sich derzeit nach Betrauung durch die Europäische Kommission die ETSI mit der Schaffung von Standards für Cloud Computing. Als erster Schritt fand Anfang Dezember 2012 in Cannes ein zweitägiger Koordinierung-Workshop statt, zu welchem 125 Experten als Vertreter staatlicher und nichtstaatlicher Organisationen sowie aus der Privatwirtschaft, darunter, aufgrund ihrer Mitwirkung am EuroCloud Star Audit, Vertreter der EuroCloud Austria und Deutschland, eingeladen waren.
[22]
Ziel dieser Veranstaltung war es, zunächst bestehende Standards und deren Anwendbarkeit im Cloud-Umfeld sowie fehlende Regelungen zu analysieren und auf dieser Grundlage den weiteren Fahrplan festzulegen. Dazu fanden in 5 Arbeitskreisen, je einer zu den Themen Sicherheit und Datenschutz, Interoperabilität, Übertragbarkeit von Daten, Servicelevel Agreements sowie Wiedererlangbarkeit von Daten, teils hitzige Diskussionen statt.
[23]
Als erstes Ergebnis dürften aller Voraussicht nach die Arbeitskreise zur Übertragbarkeit und zur Wiedererlangbarkeit von Daten zusammengelegt werden, da sie sich thematisch stark überschneiden. Insbesondere das im Cloud-Umfeld brisante Thema, auf welche Art sichergestellt werden kann, dass ein Nutzer im Falle der Beendigung des Vertragsverhältnisses mit seinem bisherigen Cloud-Anbieter, sei es infolge Kündigung oder Insolvenz des Anbieters, seine Daten wiedererlangen und mit möglichst geringem Aufwand zu einem anderen Anbieter oder in das eigene Rechenzentrum übertragen kann, wird von beiden Arbeitskreisen behandelt.
[24]
Im Übrigen wird die ETSI nun die Ergebnisse des Treffens analysieren. Nach weiterer inhaltlicher Abstimmung per Telefon und Internet wird im April ein weiteres Treffen stattfinden, diesmal in Brüssel. Ein erster Zwischenbericht an die europäische Kommission ist für Oktober 2013 geplant.
[25]
Der Koordinierungs- und Standardisierungsprozess bei der ETSI steht somit noch am Anfang. Aufgrund des, vor allem auch politischen, Interesses an Standards für Cloud Computing ist aber davon auszugehen, dass er früher oder später zu verwertbaren Ergebnissen führen wird. Fraglich ist natürlich der zeitliche Horizont, zumal bei diesem Thema, wie man auch in Cannes beobachten konnte, verschiedene Interessen teils heftig aufeinanderprallen. Dies ist aber eine Herausforderung, welche die ETSI bereits früher meistern musste und dies auch getan hat.

4.

Zusammenfassung ^

[26]
Cloud Computing hat sich mittlerweile auch in der Wahrnehmung der Nutzer vom undefinierbaren, von Mysterien und Halbwahrheiten umgebenen Yeti zum greifbaren, für den täglichen Gebrauch nutzbaren Yak entwickelt. Es besteht im Allgemeinen kein Zweifel mehr, dass man Cloud-Dienste als verlässliches und robustes Arbeitstier nutzen kann. Die Frage bleibt aber, ob ein bestimmter Dienst den eigenen Bedürfnissen und vor allem dem Üblichen entspricht. Standards und Richtlinien sollen dabei helfen, diese Fragen zumindest leichter zu beantworten, der Weg zu diesen gestaltet sich jedoch mitunter schwierig, besonders in einem rechtlich immer noch erstaunlich stark fragmentierten Raum wie der Europäischen Union.13
[27]
Bereits jetzt gibt jedoch teils in einzelnen Mitgliedstaaten, teils bereits länderübergreifend, erste Standards und Richtlinien, welche zwar nicht rechtlich verbindlich sein mögen und mitunter auch nur Teile des großen Gebildes namens Cloud Computing abdecken, jedoch Nutzern wie auch Anbietern die gewünschte Hilfestellung bieten können. Auch das, vor allem politische, Bestreben, diese Regelungen zusammenzuführen und zumindest innerhalb der Europäischen Union zu vereinheitlichen, besteht. Es ist daher nur eine Frage der Zeit, bis sich zumindest in Teilbereichen innerhalb der Europäischen Union einheitliche Standards für Cloud Computing herausbilden. Die große Frage ist nur, ob diese aus politisch initiierten Projekten oder vielmehr aus jenen diverser Organisationen entstehen werden.

5.

Literatur ^

Höllwarth (Hrsg.), Der Weg in die Cloud, 2. Auflage, mitp, Heidelberg

 


 

Árpád Geréd, Rechtsanwalt, Maybach Görg Lenneis Geréd Zacherl Rechtsanwälte GmbH.

 


 

  1. 1 http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf abgerufen: 10.01.2013.
  2. 2 In der gängigen deutschen Übersetzung: «Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.» So zu finden beispielsweise auf der Homepage des deutschen Bundesamtes für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Themen/CloudComputing/Grundlagen/Grundlagen_node.html abgerufen: 10.01.2013.
  3. 3 Diese werden hier aus Platzgründen nicht einzeln wiedergegeben.
  4. 4 http://www.bitkom.org/de/themen/36129_61111.aspx abgerufen 10.01.2013.
  5. 5 http://www.eurocloud.at/projekte/publikationen/leitfaeden.html abgerufen 10.01.2013.
  6. 6 zB Höllwarth (Hrsg.), Der Weg in die Cloud, 2. Auflage, mitp, Heidelberg.
  7. 7 Private Nutzer hatten aufgrund teils schon langjähriger Nutzung diverser Internetdienste wie etwa Web-Mail oder sozialer Netzwerke bisweilen weniger Berührungsängste.
  8. 8 Als Beispiel kann hier Microsoft mit seinem Angebot «Office 365» und dessen Verknüpfung mit Office 2013 genannt werden.
  9. 9 Dieser Wandel ist auch am überdurchschnittlichen Interesse an dem von der EuroCloud Austria herausgegebenen Leitfaden «Cloud Services - Auswahl und Einführung - Prozesse und Organisation» (siehe FN 5) ablesbar.
  10. 10 Einen guten Überblick bietet die Seite http://cloud-standards.org abgerufen 10.01.2013.
  11. 11 Siehe dazu auch die Pressemeldung der ETSI: http://www.etsi.org/news-events/news/600-2012-11-cloud-standards-coordination-launch abgerufen 10.01.2013.
  12. 12 Zu beziehen beispielsweise über http://www.eurocloud.at/projekte/publikationen/cloud-vertraege-broschuere.html abgerufen 10.01.2013.
  13. 13 Siehe dazu zB Höllwarth (Hrsg.), Der Weg in die Cloud, 2. Auflage, mitp, Heidelberg.