"Ihm wurde klar, dass diese ganze Nation von der Seuche einer ständigen Furcht infiziert war", schrieb der US-amerikanische Schriftsteller Thomas Wolfe in seinem Roman "Es führt kein Weg zurück" über das Deutschland der 1930er-Jahre. Dieses Zitat beschreibt sehr schön die berühmt-berüchtigte "German Angst", sprich den Hang vieler Deutschen zum Grübeln sowie zur Skepsis gegenüber der Zukunft oder neuen technologischen Entwicklungen. Beispiele dafür gibt es genug. Man denke etwa an die Proteste im Jahr 2010/11 gegen Google Street View wegen zu starker Eingriffe in die Privatsphäre, die Google dazu bewegten, die Weiterentwicklung des Dienstes hierzulande einzustellen.

Das gleiche Bild bietet sich bei der Cloud. Bedenken bei Datenschutz und Datensicherheit sind der Grund dafür, dass vor allem kleine und mittlere Unternehmen (KMU) bei der Cloud-Nutzung international das Schlusslicht bilden. Der Studie "Cloud Barometer 2015" von Pb7 zufolge nutzen weniger als ein Drittel (31 Prozent) der deutschen KMU Business-Software aus der Cloud, im internationalen Durchschnitt sind es demnach 47 Prozent.

Cloud-Skepsis lässt nach

Lynn Thorenz, Senior Director Research & Consulting bei IDC, bestätigt, dass die Entscheider in deutschen Unternehmen das Thema Sicherheit kritischer sehen als Firmen in der EU oder gar den USA: "Cloud-Security beschäftigt weltweit alle Unternehmen und ist überall Thema Nummer 1, die Skepsis ist hierzulande im internationalen Vergleich aber am stärksten ausgeprägt. Wir stellen jedoch fest, dass die Sicherheitsbedenken nachlassen."

Eine tatsächlich interessante, wenn nicht überraschende Entwicklung. Dieses Ergebnis wirft zwei Fragen auf: Warum zeigten sich bislang gerade deutsche Unternehmen so zögerlich gegenüber Cloud Computing? Und wie ist es zu erklären, dass diese Skepsis gerade jetzt zu schwinden scheint?

Strenge Datenschutz-Gesetze, Komplexität und kulturelle Einflüsse

"Ein wesentlicher Grund für die Vorsicht gegenüber der Cloud ist die stringente und sehr strenge Datenschutzgesetzgebung in Deutschland", erklärt Karsten Leclerque, Principal Consultant - Outsourcing & Cloud bei Pierre Audoin Consultants (PAC). "Die rigiden Vorgaben erhöhen die Komplexität. Zum einen muss ein Unternehmen prüfen, ob die verschiedenen Cloud-Anbieter, Betreiber von Rechenzentren und deren Partner auch alle Compliance-Anforderungen erfüllen. Zum anderen gilt es, die eigenen Daten zu kategorisieren und zu klären, welche Daten welchen gesetzlichen Anforderungen unterliegen."

Neben der Gesetzgebung spielen auch kulturelle Fragen eine Rolle. Die "Just Do It"-Mentalität sowie Try and Error sind hierzulande eher verpönt - im Gegensatz etwa zu den USA. "Deutschland ist ein Land der Ingenieure. Das heißt, ein Produkt muss komplett ausgereift und funktionsfähig sein, bevor es auf den Markt kommt", so Karsten Leclerque. Bei den Bedenken gegenüber der Cloud-Nutzung sieht er Parallelen zur Entwicklung beim klassischen Outsourcing, als die Kunden auch das Rechenzentrum in ihrer Nähe haben wollten, um ihre Infrastruktur weiterhin kontrollieren zu können.

Auch Lynn Thorenz von IDC führt die Cloud-Vorbehalte in Deutschland neben der strengen Gesetzgebung und Komplexität auf eine kulturelle Komponente zurück: "Der für die deutsche Wirtschaft prägende Mittelstand ist bekannt für seine konservative Einstellung bei der Adaption neuer Technologien. Dieses Unbehagen gegenüber der Cloud bei Datenschutz und IT-Security wurde schließlich durch den NSA-Skandal weiter befeuert."

Der IDC-Analystin zufolge sollten die Unternehmen aber hier die Ebenen Datenschutz und IT-Security getrennt sehen. Das Thema Datenschutz bezieht sich laut Thorenz auf die rechtliche Seite und den Zugriff auf die Daten - hier sind auch mit der aktuellen Nachfolgeregelung für Safe Harbor noch viele Fragen offen. IT-Security umfasst dagegen Themen wie das sichere Speichern von Daten, Verschlüsselung, Backup & Recovery etc. "Bei IT-Security sind die Cloud-Provider bestens aufgestellt, da sie aktuellste Sicherheitstechnologie einsetzen und IT-Sicherheit zu ihrem Kerngeschäft gehört. Einen vergleichbar hohen Sicherheitsstandard können Unternehmen kaum in ihrem eigenen Rechenzentrum zu vertretbaren Kosten herstellen", so Lynn Thorenz.

Pragmatismus und Wettbewerbsdruck

Dadurch nimmt in vielen deutschen Unternehmen das Vertrauen in die Cloud zu, zumal die Cloud-Anbieter alle relevanten Sicherheits-Zertifikate nachweisen können. "Da der Markt gereift ist, finden Unternehmen jetzt auch viele Referenzen, die ein ähnliches Cloud-Projekt verfolgen oder sogar noch darüber hinausgehen. Ein Beispiel sind Finanz-Dienstleister, die sehr strengen Datenschutzvorgaben unterliegen", erläutert Karsten Leclerque. Zudem wachse eine neue Entscheider-Generation heran, die offener gegenüber der Cloud sei.

Der IDC-Analystin zufolge sollten die Unternehmen aber hier die Ebenen Datenschutz und IT-Security getrennt sehen. Das Thema Datenschutz bezieht sich laut Thorenz auf die rechtliche Seite und den Zugriff auf die Daten - hier sind auch mit der aktuellen Nachfolgeregelung für Safe Harbor noch viele Fragen offen. IT-Security umfasst dagegen Themen wie das sichere Speichern von Daten, Verschlüsselung, Backup & Recovery etc. "Bei IT-Security sind die Cloud-Provider bestens aufgestellt, da sie aktuellste Sicherheitstechnologie einsetzen und IT-Sicherheit zu ihrem Kerngeschäft gehört. Einen vergleichbar hohen Sicherheitsstandard können Unternehmen kaum in ihrem eigenen Rechenzentrum zu vertretbaren Kosten herstellen", so Lynn Thorenz.

IDC-Analystin Lynn Thorenz geht sogar davon aus, dass bis 2018 bei jedem Unternehmen eine "Cloud First"-Strategie auf der Agenda stehe. "Wenn die Firmen neue Lösungen einführen, geht es dann um die geeignete Cloud-Variante, sei es Hosted oder Managed Public Cloud, Private Cloud, ein deutscher Anbieter oder ein US-Anbieter mit Rechenzentrum in Deutschland. Die Auswahl ist vielfältig."

Cloud-Anbieter haben ihre Hausaufgaben gemacht

Die führenden US-amerikanischen Cloud-Anbieter selbst haben auf die Datenschutz-Bedürfnisse der deutschen Unternehmen reagiert. Sie legen ihre Sicherheitskonzepte offen, bauen neue Rechenzentren in Europa oder Deutschland (wie etwa Amazon), gehen Daten-Treuhänderschaften ein (beispielsweise Microsoft und T-Systems) oder schließen Verträge nach deutschem Recht ab. Diese Verträge und auch SLAs sind meist sehr granular, um die Vertraulichkeit, Verfügbarkeit und Integrität der Daten sicherzustellen. Eine wichtige Rolle spielt dabei die End-to-End-Verschlüsselung der Daten mit Schlüssel-Hoheit beim Kunden.

Viele Provider bieten zudem Support oder Beratung für ihre Kunden, entweder mit eigenem Personal oder über ein Partner-Netzwerk. Sie eruieren zum Beispiel gemeinsam mit jedem Kunden individuell, welche Workloads und Anwendungen sich für den Einsatz in der Cloud eignen und welche nicht, sei es aus technischen oder datenschutzrechtlichen Gründen, und sind stets erreichbar, wenn der Kunde Fragen hat. Mit diesen vertrauensbildenden Maßnahmen tragen die Cloud-Anbieter zum Schwinden der "German-Cloud-Angst" bei.