12.12.2023 | LOGFILE Leitartikel 47/2023

Quelle: GMP & TEA, Episode 39

Dürfen GMP-Daten in die Cloud?

Dürfen GMP-Daten in die Cloud?

7 Min. Lesezeit | von Thomas Peither

In der jüngsten Episode aus der Webcast-Reihe wird auf folgende Fragen eingegangen:

  • Was versteht man unter Cloud-Computing?
  • Was sind die Chancen und Risiken der Cloud-Nutzung?
  • Welche Daten dürfen in die Datenwolke?

Was versteht man unter Cloud-Computing?

Cloud-Computing ist keine neue Technologie, sondern eine neue Art der Bereitstellung von Ressourcen für die Datenverarbeitung. Cloud-Computing-Dienste reichen von der Datenspeicherung und -verarbeitung bis hin zu Software wie für die E-Mail-Bearbeitung. Solche Dienste sind unverbindlich und auf Abruf verfügbar.

Da wir uns in einer Zeit der Sparmaßnahmen befinden, entscheiden sich viele Unternehmen lieber für kalkulierbare laufende Kosten als für langlaufende unsichere Investitionen. Mit den raschen Innovationszyklen und hohen Kosten ist dieses neue Geschäftsmodell für die Datenverarbeitung auf fruchtbaren Boden gefallen, und es wird weltweit ausgebaut.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Cloud-Computing wie folgt:

„Cloud-Computing ist ein Modell, das es erlaubt,

  • bei Bedarf,
  • jederzeit und überall bequem über ein Netz
  • auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z.B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen,
  • die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“

Es ist nützlich, sich eine „Cloud“ zunächst wie ein Rechenzentrum, also wie ein fremdes Rechenzentrum, vorzustellen. Trotzdem hat ein reguliertes Unternehmen die gleiche Verantwortung für den konformen Betrieb computerisierter Systeme wie zuvor im eigenen Rechenzentrum – nur, dass die Infrastruktur und Daten nun woanders liegen.

Die Kontrolle bzw. Verwaltung der Daten wird prinzipiell dem Cloud-Anbieter anvertraut, während die Verantwortung also immer noch beim Pharmahersteller liegt. Aus der Sicht des GMP-regulierten Unternehmens ergeben sich daher sofort Fragen bezüglich der

  • Datensicherheit,
  • Datenverfügbarkeit und
  • Datenintegrität.

Cloudmodelle

Die Art der Software-Bereitstellung unterscheidet zwischen verschiedenen Typen einer Cloud.

Häufige Modelle sind:

  • Public Cloud
  • Community Cloud
  • Private Cloud
  • Virtual Private Cloud
  • Hybrid Cloud

Service-Modelle

Hinzu kommt die Art der Service-Modelle, und nun wird es ein wenig kompliziert. Ich will nur die geläufigsten Abkürzungen herausgreifen:

  • IaaS – Infrastructure as a Service

Das ist eine Computerinfrastruktur, die über das Internet bereitgestellt und verwaltet wird. Unternehmen nutzen die Rechenkapazitäten und zahlen für die Nutzung der Rechenleistung.

  • PaaS – Platform as a Service

Hier mietet das Unternehmen ein vollständiges Betriebssystem oder eine Entwicklungsumgebung. Der Kunde ist für die darauf laufenden Anwendungen verantwortlich.

  • SaaS – Software as a Service

Hier schließlich ist das nutzende Unternehmen nur für die kundenspezifischen Daten und die Zugriffe verantwortlich. Viele kennen das von SAP oder Buchhaltungsprogrammen. Auch der GMP-BERATER ist ein SaaS.

Sie können im GMP-BERATER Favoriten setzen, für die wir als Verlag nicht verantwortlich sind. Oder auch unsere E-Learnings GMP:READY sind in dieser Kategorie anzusiedeln.


Sie merken, vor 10 Jahren war das alles noch anders, die Software musste im Unternehmen häufig sogar auf dem PC installiert werden. Heute und in Zukunft greifen wir nur noch auf bereitgestellte Ressourcen zu.

Das nennt sich auch Arbeitsteilung – warum soll ein Pharmaunternehmen sich mit
IT-Fragestellungen so tief beschäftigen, wenn die Kernkompetenz doch die Arzneimittelherstellung ist?

Und der GMP-BERATER läuft selbstverständlich auch nicht auf einem Server in unserem Keller, sondern in einer Cloudumgebung. Dies ist nicht nur sicherer, sondern auch stabiler und mit weniger Ausfällen verbunden.

Beim Stichwort „sicherer“ hat sich Ihre Stirn vielleicht in Falten gelegt. Und das ist gut so, denn wir wollten uns ja auch mit den Chancen und Risiken der Cloud-Nutzung beschäftigen.


Betrachten wir zuerst die Chancen:

Cloud-basierte Dienste werden ausgiebig in privaten Bereichen (Social Media, Online-Shopping) genutzt und sind in Handel, Bankwesen, Unterhaltung etc. weit verbreitet.

Als Vorteile werden gesehen:

  • Kostenersparnis
  • Geschwindigkeit
  • Flexibilität und
  • Sicherheit

Dem gegenüber stehen Nachteile, die im ungünstigen Fall auftreten können:

  • Strafzahlungen
  • Downtime
  • Umsatzeinbußen
  • Schädigung der Reputation oder
  • Verlust von Kundenvertrauen

Potenzielle Risiken der Cloud-Nutzung werden von der Cloud Security Alliance (CSA) regelmäßig gesammelt, ausgewertet und gruppiert. 2022 wurde der Bericht “Top Threats to Cloud Computing – Pandemic Eleven“ veröffentlicht.

Ich empfehle Ihnen, diese Auflistung zu lesen, denn so bekommen Sie einen Eindruck von der Vielfalt der Probleme, die von unsicheren Sicherheitsarchitekturen bis zu Hackerangriffen reicht, um Daten gezielt zu stehlen.

Die dort genannten potenziellen Risiken können Sie einem Episoden-Extra entnehmen, das Sie im GMP & TEA-Portal abrufen können. Auch dies ist übrigens eine Cloudlösung.

Eines müssen wir uns aber immer wieder vergegenwärtigen: Wenn sich Unternehmen dafür entscheiden, alle Anwendungen und Daten im Unternehmen zu halten, sind die meisten dieser Risiken immer noch vorhanden und müssen mit eigener Expertise bewältigt werden.

Bei professionellen Cloudservices sind solche Risiken bereits mit abgedeckt.

Werden Entscheidungen für Out- oder Insourcing getroffen, spielt die Expertise immer eine entscheidende Rolle. Wie teuer ist die Expertise extern oder intern? Auch hier gilt die Prämisse der Arbeitsteilung.

 
Thomas Peither

Autor

Thomas Peither
GMP-Experte, Fachjournalist und Gründer des GMP-Verlags Peither AG
E-Mail: thomas.peither@gmp-verlag.de

 
GMP Tea Icon

GMP & TEA


Die Pause, die Sie weiterbringt.

Mit jeder Episode unseres Webcasts GMP & TEA erhalten Sie eine ca. 20 minütige Weiterbildung zu einem spannenden GMP-Thema.

Im Online-Portal finden Sie alle neuen und die 30 gesendeten Episoden. Neben zehn neuen Episoden im Jahr erhalten Sie im Abo unter anderem Leistungen, wie

  • Manuskripte zum Nachlesen,
  • die Präsentationen als Download,
  • und Antworten auf individuelle Fragen zu einzelnen Folgen.

Hier gehts zur Test-Version!


> Mehr Informationen und Bestellung
 
 

Kommentare


Schreiben Sie einen Kommentar zu diesem Leitartikel.

> Zögern Sie nicht, wir freuen uns auf Ihr Feedback!