Cloud-Speicher: Worauf Unternehmen achten sollten
Passende Arbeitshilfen
Risikoanalyse und Datenklassen: Ohne Überblick wird jedes Kriterium beliebig
Der erste Schritt ist nicht Technik, sondern Einordnung. Firmen müssen definieren, welche Daten überhaupt in den Cloud-Speicher dürfen. Eine einfache Datenklassifizierung genügt oft schon, z.B. öffentlich, intern, vertraulich, streng vertraulich. Wichtig ist, dass jede Klasse auch Regeln bekommt: Wer darf zugreifen? Wie lange wird aufbewahrt? Wo darf was liegen? Wie wird geteilt? Aus dieser Klassifizierung ergibt sich eine Mini-Risikoanalyse, die man auch später den eigenen Stakeholdern gut erklären kann. Typische Szenarien sind Datenabfluss durch Fehlberechtigungen, versehentliche Freigaben, kompromittierte Konten, Verlust durch Fehlkonfiguration, unbemerkte Manipulation von Dokumenten oder unvollständige Löschungen. Wer diese Risiken priorisiert, kann Mindestanforderungen formulieren, statt sich von Feature-Listen treiben zu lassen. In dieser Phase lohnt es sich auch, Verantwortlichkeiten festzuzurren. Wer ist Data Owner für welche Bereiche? Wer genehmigt externe Freigaben? Wer verantwortet Berechtigungsrollen? Ohne Rollen bleibt Cloud-Speicher ein Selbstbedienungsladen, der mit jeder Abteilung anders wächst.
Datenstandort und Rechtsrahmen: Residenz, Subunternehmer, Transparen
Beim Datenstandort geht es weniger darum, „Schweiz“ auf einer Website lesen zu können. Wichtig ist, wo die Daten tatsächlich gespeichert und verarbeitet werden, ob Subunternehmer beteiligt sind und wie Änderungen kommuniziert werden. Unternehmen sollten deshalb Vertrags- und Nachweispunkte definieren: Datenresidenz je Datenklasse, klare Regelung zu Unterauftragsverarbeitern, Meldepflichten bei Änderungen, und ein Mechanismus, wie man sich einen aktuellen Überblick verschafft. Auch die Frage der Zugriffsmöglichkeiten spielt hinein. Viele Unternehmen wollen genauer wissen, wie im Rechtsraum des jeweiligen Anbieters mit behördlichen Zugriffsanfragen verfahren wird, wo es Transparenzberichte gibt und welche vertraglichen Zusagen am Ende von Interesse wären. Es gibt hier keine universelle Antwort, auch nicht auf das Thema. Aber es gibt ein universelles Vorgehen: Anforderungen zu Papier bringen, Nachweise anfordern, und eine Entscheidung fällen, die zu den eigenen Risiken passt, um einen sicheren Cloud Speicher in der Schweiz zu haben.
Zugriff und Identitäten: IAM ist wichtiger als Speichermenge
Die meisten Vorfälle beginnen nicht mit einem Hackerangriff, sondern mit zu vielen Berechtigungen. Daher sollte Zugriffskontrolle das wichtigste Kriterium der Auswahl sein. In der Praxis heißt das: Anbindung an ein zentrales Identity-Management, Single Sign-On und Multi-Faktor-Authentifizierung, rollenbasierte Berechtigungen und eine saubere Gruppenverwaltung. Für wachstumsstarke Unternehmen ist ein weiterer Punkt entscheidend: Lebenszyklus der Identitäten. Onboarding und Offboarding sind automatisierbar. Wenn ein Unternehmen sicherstellen kann, dass bei Mitarbeiteraustritt die Konten nicht vernichtet werden, bleibt ein ständiges Risiko. Gute Cloud-Speicher-Lösungen unterstützen hier Prozesse wie die zeitliche Befristung von Rechten, Rezertifizierung von Berechtigungen und Trennung zwischen Admin, Auditor und Standardnutzer.
Ein belastbarer Prüfkatalog enthält auch Freigabemechanismen. Gibt es Link-Freigaben mit Ablaufdatum? Kann man Download verhindern oder auf bestimmte Domains beschränken? Gibt es Protokolle, wer wann geteilt hat? Kann man externe Gäste granular steuern? Je mehr ein Unternehmen extern zusammenarbeitet, desto wichtiger wird genau dieser Punkt.
Passende Produkt-Empfehlungen
Verschlüsselung und Schlüsselmanagement: Wer die Schlüssel hat, hat das Risiko
Verschlüsselung ist kein Buzzword, sondern Prüfkriterium. Mindestens während der Übertragung und im Ruhezustand müssen Daten verschlüsselt sein. Das ist inzwischen Standard. Differenzieren kann man beim Schlüsselmanagement: Wer hat die Verwaltung der Schlüssel inne, wie läuft Rotation, was gibt es für Alternativen, wenn ich mehr Kontrolle haben will? Für streng geheime Daten sind bei Cloudspeichern Kundenschlüssel möglich, gibt es getrennte Systeme zur Schlüsselverwaltung und wie verhält sich das Berechtigungskonzept mit dem Schlüsselkonzept? Ein sauber angestellter Ansatz trennt Zuständigkeiten: Wer Daten administriert, der sollte nicht automatisch auch noch Schlüssel administrieren. Das schützt vor Missbrauch und ist auditfreundlich. In der Praxis muss man auch die Randbereiche im Blick haben. Wenn Daten über Synchronisationsclients unverschlüsselt auf Endgeräten liegen, wenn Offlinekopien unkontrolliert wachsen und wenn Backups nicht mitgedacht sind, dann hilft die ganze Verschlüsselung wenig. Darum gehört die Endgeräte-Strategie in die Beurteilung: Geräteschutz, Verschlüsselung auf Clients, Richtlinien für Offline-Speicherung, Regelungen für private Geräte.
Betriebsfähigkeit und Exit
Ein Cloud-Speicher ist nicht „eingeführt“, nur weil das Login klappt. Entscheidend ist der Betrieb. Monitoring, Incident-Prozess, Support-Reaktionszeiten, Wartungsfenster, aber auch die Fähigkeit, im Ernstfall die Daten schnell wiederherstellen zu können. Ein praktisches Kriterium sind regelmäßige Restore-Tests. Nicht als theoretisches Versprechen, sondern als geübter Prozess: Welche Daten lassen sich in welcher Zeit wiederherstellen und wer entscheidet im Notfall? Ebenfalls wichtig ist die Exitfähigkeit. Unternehmen sollten vor Vertragsunterzeichnung abklären, wie sie Daten exportieren können, in welchem Format, in welcher Struktur, ob Metadaten und Berechtigungsstrukturen mitkommen. Ein guter Exitplan hat auch einen Zeitrahmen, eine Verantwortlichkeit, eine grobe Kostenabschätzung. Das ist kein Misstrauen, sondern Risikomanagement. Bei der Kostenlogik lohnt sich der Blick über den Monatspreis hinaus. Wo entstehen Kosten bei zusätzlichen Nutzern, Gastzugriff, API-Nutzung, Versionierung, Archivkosten, Egress, Support-Level, Storage-Wachstum? Wer diese Treiber frühzeitig modelliert, erhält weniger Überraschungen, wenn das Unternehmen wächst.
