Dürfen GMP-Daten in die Cloud?

Was versteht man unter Cloud-Computing?

Cloud-Computing ist keine neue Technologie, sondern eine neue Art der Bereitstellung von Ressourcen für die Datenverarbeitung. Cloud-Computing-Dienste reichen von der Datenspeicherung und -verarbeitung bis hin zu Software wie für die E-Mail-Bearbeitung. Solche Dienste sind unverbindlich und auf Abruf verfügbar.

Da wir uns in einer Zeit der Sparmaßnahmen befinden, entscheiden sich viele Unternehmen lieber für kalkulierbare laufende Kosten als für langlaufende unsichere Investitionen. Mit den raschen Innovationszyklen und hohen Kosten ist dieses neue Geschäftsmodell für die Datenverarbeitung auf fruchtbaren Boden gefallen, und es wird weltweit ausgebaut.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Cloud-Computing wie folgt:

„Cloud-Computing ist ein Modell, das es erlaubt,

• bei Bedarf,
• jederzeit und überall bequem über ein Netz
• auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z.B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen,
• die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“

Es ist nützlich, sich eine „Cloud“ zunächst wie ein Rechenzentrum, also wie ein fremdes Rechenzentrum, vorzustellen. Trotzdem hat ein reguliertes Unternehmen die gleiche Verantwortung für den konformen Betrieb computerisierter Systeme wie zuvor im eigenen Rechenzentrum – nur, dass die Infrastruktur und Daten nun woanders liegen.

Die Kontrolle bzw. Verwaltung der Daten wird prinzipiell dem Cloud-Anbieter anvertraut, während die Verantwortung also immer noch beim Pharmahersteller liegt. Aus der Sicht des GMP-regulierten Unternehmens ergeben sich daher sofort Fragen bezüglich der

• Datensicherheit,
• Datenverfügbarkeit und
• Datenintegrität.

Cloudmodelle

Die Art der Software-Bereitstellung unterscheidet zwischen verschiedenen Typen einer Cloud.

Häufige Modelle sind:

• Public Cloud
• Community Cloud
• Private Cloud
• Virtual Private Cloud
• Hybrid Cloud

Service-Modelle

Hinzu kommt die Art der Service-Modelle, und nun wird es ein wenig kompliziert. Ich will nur die geläufigsten Abkürzungen herausgreifen:

• IaaS – Infrastructure as a Service

Das ist eine Computerinfrastruktur, die über das Internet bereitgestellt und verwaltet wird. Unternehmen nutzen die Rechenkapazitäten und zahlen für die Nutzung der Rechenleistung.

• PaaS – Platform as a Service

Hier mietet das Unternehmen ein vollständiges Betriebssystem oder eine Entwicklungsumgebung. Der Kunde ist für die darauf laufenden Anwendungen verantwortlich.

• SaaS – Software as a Service

Hier schließlich ist das nutzende Unternehmen nur für die kundenspezifischen Daten und die Zugriffe verantwortlich. Viele kennen das von SAP oder Buchhaltungsprogrammen. Auch der GMP-BERATER ist ein SaaS.

Sie können im GMP-BERATER Favoriten setzen, für die wir als Verlag nicht verantwortlich sind. Oder auch unsere E-Learnings GMP:READY sind in dieser Kategorie anzusiedeln.

Sie merken, vor 10 Jahren war das alles noch anders, die Software musste im Unternehmen häufig sogar auf dem PC installiert werden. Heute und in Zukunft greifen wir nur noch auf bereitgestellte Ressourcen zu.

Das nennt sich auch Arbeitsteilung – warum soll ein Pharmaunternehmen sich mit
IT-Fragestellungen so tief beschäftigen, wenn die Kernkompetenz doch die Arzneimittelherstellung ist?

Und der GMP-BERATER läuft selbstverständlich auch nicht auf einem Server in unserem Keller, sondern in einer Cloudumgebung. Dies ist nicht nur sicherer, sondern auch stabiler und mit weniger Ausfällen verbunden.

Beim Stichwort „sicherer“ hat sich Ihre Stirn vielleicht in Falten gelegt. Und das ist gut so, denn wir wollten uns ja auch mit den Chancen und Risiken der Cloud-Nutzung beschäftigen.

Betrachten wir zuerst die Chancen:

Cloud-basierte Dienste werden ausgiebig in privaten Bereichen (Social Media, Online-Shopping) genutzt und sind in Handel, Bankwesen, Unterhaltung etc. weit verbreitet.

Als Vorteile werden gesehen:

• Kostenersparnis
• Geschwindigkeit
• Flexibilität und
• Sicherheit

Dem gegenüber stehen Nachteile, die im ungünstigen Fall auftreten können:

• Strafzahlungen
• Downtime
• Umsatzeinbußen
• Schädigung der Reputation oder
• Verlust von Kundenvertrauen

Potenzielle Risiken der Cloud-Nutzung werden von der Cloud Security Alliance (CSA) regelmäßig gesammelt, ausgewertet und gruppiert. 2022 wurde der Bericht “Top Threats to Cloud Computing – Pandemic Eleven“ veröffentlicht.

Ich empfehle Ihnen, diese Auflistung zu lesen, denn so bekommen Sie einen Eindruck von der Vielfalt der Probleme, die von unsicheren Sicherheitsarchitekturen bis zu Hackerangriffen reicht, um Daten gezielt zu stehlen.

Die dort genannten potenziellen Risiken können Sie einem Episoden-Extra entnehmen, das Sie im GMP & TEA-Portal abrufen können. Auch dies ist übrigens eine Cloudlösung.

Eines müssen wir uns aber immer wieder vergegenwärtigen: Wenn sich Unternehmen dafür entscheiden, alle Anwendungen und Daten im Unternehmen zu halten, sind die meisten dieser Risiken immer noch vorhanden und müssen mit eigener Expertise bewältigt werden.

Bei professionellen Cloudservices sind solche Risiken bereits mit abgedeckt.

Werden Entscheidungen für Out- oder Insourcing getroffen, spielt die Expertise immer eine entscheidende Rolle. Wie teuer ist die Expertise extern oder intern? Auch hier gilt die Prämisse der Arbeitsteilung.