Es ist das Horror-Szenario eines jeden Cloud-Kunden. Der Provider geht Pleite, und die Daten können nicht mehr rechtzeitig abgezogen werden. Doch es gibt Gegenmassnahmen und Sicherheitsvorkehrungen.
Damit bei der Insolvenz des Cloud-Anbieters der Kunde nicht im Regen steht, gilt es einige Vorkehrungen zu treffen.
Die Kunden des US-Cloud-Provider Nirvanix durften kürzlich das Worst-Case-Szenario durchmachen, dass man als Abnehmer von externen IT-Dienstleistungen wohl erleben darf: Der Provider geht pleite und die eigenen Daten gehen unwiederbringlich verloren. Bei Nirvanix war es jedenfalls so, dass es einige Kunden nicht schafften, ihre Daten zu retten. Und anscheinend war Nirvanix in den USA kein Einzelfall. Kurz darauf schloss der Provider Megacloud Knall auf Fall seine Tore. In der Schweiz seien ihm vergleichbare Fälle, zumindest in der genannten Grössenordung, nicht bekannt, meint Rechtsanwalt Oliver Staffelbach und bei der Zürcher Kanzlei Wenger & Vieli auf IT-Recht spezialisiert gegenüber Computerworld. Auch Ulrich Amberg, Leiter IT-Beratung von KPMG Schweiz, kennt keinen nennenswerten Fall in der Schweiz. Allerdings weist Amberg darauf hin, dass der eine oder andere helvetische Provider von temporären Ausfällen und Datenlecks betroffen gewesen sei. «Solche Vorfälle ereignen sich relativ häufig und können ebenfalls gravierende Folgen für Outsourcing-Kunden haben», ist er überzeugt. Nächste Seite: Wichtige Vorkehrungen
Wichtige Vorkehrungen
Auch wenn bislang keine grössere Cloud-Provider-Pleite in der Schweiz zu beklagen ist: Die Gefahr ist aber durchaus gegeben, dass ein Provider bankrott geht, und dass dann auch die Daten mit der Firma untergehen. «Denn juristisch sind keine Vorkehrungen möglich, die einen umfassend gegen den Datenverlust absichern», meint Staffelbach. Man könne sich aber vertraglich recht gut absichern, so der Jurist. «So kann man im Cloud- oder Outsourcing-Vertrag festlegen, dass man die Daten vor einem drohenden Konkurs erhält», erklärt Staffelbach. Man müsse sich also das Recht ausbedingen, jeder Zeit die Daten herunterzuladen zu können.
Daneben ist laut Staffelbach eine finanzielle Beobachtung des Cloud-Providers ratsam. «Man kann etwa vertraglich vereinbaren, dass der Anbieter vierteljährliche oder jährliche Reports verfasst, die Auskünfte geben zur finanziellen Leistungsfähigkeit und Zahlungsfähigkeit des Anbieters», berichtet er. Hierdurch könne man rechtzeitig vor einer drohenden Insolvenz gewarnt werden und entsprechende Gegenmassnahmen ergreifen. «Ein Recht auf diese Reports gibt es aber nicht, diese sind Verhandlungssache», gibt Staffelbach zu bedenken und fügt hinzu, dass eine solche Vertragsklausel bei kleinen Deals nicht immer möglich sind. «Ab einer gewissen Grösse des Vertrags, kann man dies aber durchaus fordern und vertraglich festlegen, sich ein solches Recht auszubedingen», sagt er. Auch Amberg rät dazu, die Herausgabe von eigenen Daten bei einer drohenden Insolvenz vertraglich festzulegen. Er fügt an, dass etwa bei der Nutzung einer Software in der Cloud es auch möglich sei, für den Fall der Insolvenz des Providers mittels vertraglich vereinbartem Escrow-Verfahren Zugriff auf den hinterlegten Source Code der Software zu erhalten, um die Applikation in diesem Fall selbst oder bei einem anderen Provider weiter zu betreiben. Nächste Seite: Business Continuity ist ausschlaggebend Daneben ist es laut dem KPMG-Partner ratsam, sich die finanzielle Stabilität des Providers anzuschauen. «Ein grosser, etablierter Anbieter ist für geschäftskritische Cloud-Dienstleistungen sicherer als ein kleines Start-up», meint er.
Business Continuity wichtiger
Generell sei es wichtig sich als Cloud- und Outsourcing-Kunde mit Business Continuity Management auseinander zu setzen. So rät Amberg, wenn möglich weitere Cloud Provider zu evaluieren, um bei diesen im Notfall die ausgelagerte IT weiterbetreiben und die Daten umziehen zu können.
Zudem ist es ratsam, einen Notfallplan zu entwickeln, der die konkreten Schritte enthält, um die vom konkursiten Cloud-Betreiber geretteten Daten weiter zu verwenden. «Selbst wenn die Daten gerettet werden können, braucht es eine neue Betriebsumgebung und einen Weg, wie die Daten dahin migriert werden», gibt Amberg zu bedenken. «Der reine Besitz der Daten löst das Problem nicht, wenn ich nichts mit ihnen anfangen kann und keinen Notfallplan ausgearbeitet habe», ergänzt er. Somit seien die operativen Vorkehrungen in Bezug auf die Business Continuity mindestens so wichtig wie die rechtlichen, schliesst er.
