Die Standardisierung und Sicherheitsvorschriften stecken beim Cloud Computing noch in den Kinderschuhen.

Im Cloud-Computing-Dschungel gibt es viele Angebote; die Palette reicht von Krankenhaus- und Patientenverwaltungssoftware in der Cloud bis hin zu komplett outgesourcten Rechenzentren. Möchte eine Klinik diese Dienste nutzen, sollte sie sich zuvor unbedingt mit Fragen zur Vertragsgestaltung und zum Anbieterwechsel auseinandersetzen.

Doch viele Anwender klagen beim Cloud Computing über intransparente Leistungsprozesse und eine unklar definierte Servicequalität, so eine Ardour-Studie von 2010. Da verwundert es nicht, dass die Anzahl der Cloud-Computing-Gegner mit 27 % in Deutschland relativ hoch ist. Denn die meisten Krankenkassen oder Krankenhäuser haben ein ungutes Gefühl, ihre sensiblen Daten in fremde Hände zu geben.

Sicherheitsbedenken nicht ganz unbegründet

Gerade bei Public Clouds liegen die Hauptbefürchtungen bei der Sicherheit, wie eine aktuelle IDC-Studie belegt. Angesichts aktueller Datenskandale scheinen diese Bedenken nicht ganz unbegründet.

Vermehrt legen Cloud-Nutzer daher Wert darauf, ihre sensiblen Daten in europäische externe Rechenzentren zu verlagern. Hierbei ist auch die Rechenzentrumsgröße ausschlaggeben. Kleine Rechenzentren sind generell seltener von Skandalen betroffen, da sie nicht so stark im Visier der Hacker stehen. Viele davon können zudem mit vergleichbar guter Infrastruktur und Disaster Recovery aufwarten.

Dennoch können kurzfristige Änderungen beim Cloud-Anbieter mit Risiken einhergehen. Schaltet ein Cloud Provider Subunternehmen ein, wissen Cloud-Nutzer oft nicht mehr, in welchen Ländern ihre Daten gespeichert sind. Sobald sich eine Cloud über verschiedene Länder erstreckt, entstehen überdies im Schadensfall juristische Probleme. Oft herrscht in Drittländern kein vergleichbares Datenschutzniveau.

Zum Schutz der europäischen Daten in den USA gibt es daher das Safe-Harbor-Abkommen. Der IT-Verband Bitkom rät Cloud-Nutzern, grundsätzlich noch vor Vertragsabschluss zu klären, wo die Daten gelagert werden und ob der Cloud-Anbieter Subunternehmer einschalten darf.

In Deutschland haben sich bereits Gremien wie das Open-Source-Projekt „Deutsche Wolke" gebildet. Sie setzen sich dafür ein, dass Anwender mehr Kontrolle über ihre Daten bekommen und die Infrastruktur in Deutschland bleibt.

Gutes Exit-Management ist das A und O

Die Bindung an den Cloud-Service-Anbieter kann sehr stark sein (Lock-In-Effekt). Oft sind Verträge mit langen Mindestlaufzeiten verbunden, und ein Wechsel zu einem anderen Anbieter kann aufgrund technischer Inkompatibilitäten sehr aufwendig werden. Angebotene Schnittstellen sind äußerst herstellerspezifisch und verhindern den reibungslosen Datentransfer aus einer Cloud in die andere. Außerdem befürchten Anwender, dass sie nach Vertragsende zusätzlich zur Kasse gebeten werden und, trotz Kündigung, vorerst weiter an die Cloud gebunden sind.

Für Cloud-Nutzer ist es daher wichtig, frühzeitig festzulegen, wie eine effiziente Migration der geschäftskritischen Daten zwischen den verschiedenen Systemen bzw. Anbietern stattfindet.

Der Leitfaden des IT-Verbands Bitkom empfiehlt, beim Exit-Management zu klären, wer für welche Schritte und Maßnahmen in welchem Zeitfenster und zu welchem Preis verantwortlich ist. Ein regelmäßiger Download sowie die Zuordnung der Cloud-Daten zur Anwender-Datenstruktur (Mapping) sollten jederzeit möglich sein. Dieses Prinzip greift auch, wenn Daten in die eigene Cloud oder in eine neue Cloud übertragen werden.

Da es für Cloud-Nutzer generell nicht so einfach ist, selbst Daten herunterzuladen, sollte der Anbieter dies schon während der Laufzeit tun. Hierbei liegt die Schwierigkeit darin, Daten in das vom Kunden gewünschte Datenformat zu konvertieren. Treten Schwierig­keiten auf, muss sich der Anwender an einen Konvertierungsexperten wenden. Diese können für jede Art von Cloud-Lösung eines Fremdanbieters eine Exit-Strategie anbieten, wenn ihnen die Schnittstellendefinitionen des Providers vorliegen. Da die Vertragsregelungen bisher nicht standardisiert sind, sollten Cloud-Kunden genau auf Datenschutz und Compliance-Richtlinien achten.

Cloud versus On Premise

Heterogene Integrationsanforderungen im Gesundheitsbereich nehmen zu. Dar­um ist die Wahl des richtigen Anbieters wichtig. Meist bieten Cloud Provider Kliniken, Pharmaceuticals und Medical Devices Healthcare Integrationslösungen sowohl On Premise (die Klink kauft Lizenzen und betreibt die Software vor Ort) oder als Cloud Service mit Exit-Strategie an. Bei Cloud-Betrieb profitieren Kliniken davon, dass die Software unabhängig von ihren anderen Anwendungen läuft. Daten können bei einem guten Cloud-Anbieter rasch in andere Anwendungen migriert werden. Software ist schneller austauschbar. Cloud-Nutzer profitieren insgesamt von mehr Flexibilität bei niedrigen Kosten, wenn sie neue Prozessanforderungen (z. B. bei Gesetzesänderungen oder Nutzeranforderungen) umsetzen wollen.