Kann Ihr Cloud-Anbieter Ihnen die Plattform entziehen?

Mehrere Technologiedienstleister – einschließlich Amazon Web Services, Okta und Stripe – haben ihren Dienst an Parler nach dem Sturm auf das US-Kapitol am 6. Januar 2021 ausgesetzt oder beendet. Dies führte effektiv dazu, dass das Geschäft von Parler geschlossen oder „verdrängt“ wurde. Infolgedessen überprüfen Führungskräfte ihre Strategien zum Risikomanagement, um zu verstehen, wie gefährdet sie wären, wenn ein kritischer Online-Servicevertrag gekündigt würde.

Wann und warum geschieht der Entzug der Plattform?

Es kommt nicht oft vor, aber es passiert. Technologiedienstleister haben Verträge mit bestimmten Unternehmen abgelehnt, gekündigt oder angekündigt, dass sie diese nicht mehr unterstützen würden.

Zum Beispiel kündigte PayPal an, dass es keine Zahlungen für Performer auf PornHub mehr verarbeiten würde, einer Plattform für Videoinhalte für Erwachsene; und Salesforce änderte den Wortlaut in seinen Nutzungsbedingungen im Jahr 2019, um bestimmte Arten von Einzelhandelstransaktionen von Schusswaffen zu verbieten.

Dienstleister können Verträge für wesentliche Verstöße gegen die Nutzungsbedingungen kündigen, sich dafür entscheiden, sie nicht zu verlängern oder so unattraktive Bedingungen anbieten, dass die Nichtverlängerung die einzige vernünftige Option ist. Dies gilt nicht nur für Cloud-Dienstleister, sondern auch für Zahlungsabwickler, E-Commerce-Dienstleister, traditionelle Hoster und viele kritische Anbieter von Internetinfrastruktur. Wenn ein Anbieter einen Servicevertrag kündigt, kann dies schwerwiegende Auswirkungen auf Ihr Unternehmen haben.

Es gibt häufige Gründe dafür, warum Dienstanbieter den Dienst aussetzen oder beenden, und einige Unternehmen haben möglicherweise ein höheres Risiko für negative Interaktionen mit Anbietern. Jedes Unternehmen kann die Risiken bewerten und minimieren.

Warum würde ein Dienstleister Ihr Unternehmen von seiner Plattform ausschließen?

Die meisten Technologiedienstleister verlangen in ihren Verträgen, dass Kunden sich an eine „annehmbare Nutzungsrichtlinie“ (AUP) halten. Die genauen Nuancen einer AUP unterscheiden sich je nach Unternehmen, doch fast alle Dienstleister verbieten illegale Aktivitäten sowie Inhalte, die den Anbieter übermäßigen Risiken aussetzen. Im Falle von PornHub, zum Beispiel, haben Mastercard, Visa und Discover Kunden von der Verwendung ihrer Karten auf der Website  ausgeschlossen, aufgrund der Sorge, dass die Website kinderpornographische Inhalte enthalten könnte.

Parler und PornHub stellen unterschiedliche Formen des „übermäßigen Risikos“ für Anbieter dar, in der Regel eine hohe Messlatte in Bezug auf bestimmte Gesetze, die Dienstleister von der Haftung abschirmen. Das Recht der Vereinigten Staaten schützt Dienstleister, wenn sie in gutem Glauben handeln, um Inhalte zu mäßigen, verpflichtet Dienstleister in den meisten – aber nicht in allen – Fällen nicht dazu, dies zu tun. Inhalte oder Handlungen, die gegen Gesetze verstoßen, werden im Allgemeinen als zu hohes Risiko für eine Duldung beurteilt und führen mit ziemlicher Sicherheit zu Durchsetzungsmaßnahmen der AUP.

Einige Kunden könnten besorgt sein, dass der Entzug der Plattform als Folge der „Stimme der Gesellschaft“ auftreten könnte – Aktivismus der Mitarbeiter, Aktionärsaktivismus, Unternehmensaktivismus und andere Formen des internen oder externen Drucks, der durch eine bestimmte Ursache ausgelöst wird. Verschiedene Dienstleister haben unterschiedliche Haltungen gegenüber solchem Druck. Im Allgemeinen ist es weniger wahrscheinlich, dass Infrastrukturanbieter von diesem Druck beeinflusst werden als andere Arten von Dienstleistern. Beachten Sie, dass dieser Druck und diese Reaktionen nicht einzigartig für das Cloud Computing sind.

Was sollten Organisationen tun, um Risiken zu minimieren?

Nur wenige legitime Geschäftskunden sind in einer erheblichen Gefahr, eine AUP in einer Weise zu verletzen, die zu einer Aussetzung oder Kündigung führen würde. Um Ihr Risiko zu reduzieren:

• Stellen Sie sicher, dass Sie angemessene Sicherheit für IaaS- und PaaS-Ressourcen aufrechterhalten. Sie möchten nicht versehentlich gegen die AUP verstoßen, weil ein Angreifer Ihre Ressourcen missbraucht hat.
• Entwickeln Sie Richtlinien und Verfahren für die Überwachung und Verwaltung von Endbenutzern. Dokumentieren Sie Verhaltensnormen in Servicevereinbarungen mit Ihren Endbenutzern und überwachen Sie Ihre Systeme auf Einhaltung, um Verstöße gegen AUP zu verhindern, bevor sie auftreten.
• Handelns Sie unverzüglich bei Warnungen der AUP-Verletzung. Erstellen Sie einen Prozess und klare Verantwortungsbereiche für die Handhabung von Verstößen gegen AUP.
• Verhandeln Sie einen Unternehmensvertrag. Arbeiten Sie mit einem ausgehandelten Unternehmensvertrag statt mit einer Click-Through-Vereinbarung. Wenn Ihre Organisation im normalen Geschäftsverlauf potenziell gegen die AUP verstoßen könnte, sollten Sie in Ihrem Vertrag eine AUP-Klarstellung aushandeln.

IaaS-Anbieter – wie Amazon Web Services, Microsoft Azure und Google Cloud Platform – betrachten sich in der Regel als öffentliche Dienste, die neutral hinsichtlich dessen sind, welche Kunden sie akzeptieren, solange diese Kunden ihren vertraglichen Verpflichtungen nachkommen, einschließlich der Einhaltung der AUP. Andere Arten von Dienstleistern können jedoch selektiver hinsichtlich der Organisationen sein, denen gegenüber sie Dienstleistungen erbringen.