4 minutes reading time (798 words)
Empfohlen 

Vertrauen in die Cloud? Mit Sicherheit!

Vertrauen in die Cloud? Mit Sicherheit!

Wenn sich ein Unternehmen für den Umzug in die Cloud entscheidet, kommt zwangsläufig die Frage nach der Sicherheit. Denn obwohl mittlerweile laut Cloud-Monitor 2017 bereits zwei von drei Firmen die Wolke nutzen, bleibt immer noch ein Rest Skepsis bestehen. Ist die Cloud wirklich sicher?

Empfehlungen vom Bundesamt

Der aktuelle C5-Katalog des Bundesamts für Sicherheit in der Informationstechnik gibt Antwort. Hier werden die Mindestanforderungen festgelegt, die ein Cloud-Anbieter tunlichst erfüllen sollte. Neben der ausreichenden Schulung des Personals werden Standards zu Verschlüsselung sowie zu Kommunikations- und Datensicherheit gesetzt. Ein weiterer Sicherheitsfaktor ist der Standort der Datenspeicherung. So sollte gewährleistet sein, dass der Provider dem strengen deutschen Datenschutzrecht unterliegt. Darüber hinaus fordert das Bundesamt eine jährliche Prüfung durch einen unabhängigen kompetenten Experten.

Da die Empfehlungen des BSI erfahrungsgemäß erheblichen Einfluss auf den Markt haben, wird die C5-Zertifizierung in der Cloud-Branche sehr schnell zu einem Qualitätssiegel werden. Wer es nicht bekommt, muss nachrüsten. Eine Aufgabe, die wahrscheinlich auf viele Service-Anbieter zukommt. Denn nach Expertenschätzung sind heute nur rund zehn Prozent der Provider am Markt in der Lage, den Forderungen im C5-Katalog gerecht zu werden.

Was Unternehmen tun können

Das Vertrauen auf eine Zertifizierung entbindet ein Unternehmen mit Cloud-Ambitionen jedoch nicht, geeignete Vorkehrungen zu treffen. Bereits in der Planungsphase ist es sinnvoll, die unterschiedlichen Cloud-Modelle einer Sicherheitsanalyse zu unterziehen. In dieser Untersuchung werden unter anderem die Kontrollmöglichkeiten für den Datenfluss, die Vor- und Nachteile der angebotenen Service-Ebenen, die Lokalität der Rechenzentren sowie die Einhaltung der gesetzlichen Datenschutzbestimmung geprüft. Fällt die Entscheidung zugunsten der einen oder anderen Cloud-Option, ist es zweckmäßig, ein entsprechendes Leistungsprofil für den Provider zu erstellen. Nur wenn dieser Ihre Erwartungen voll und ganz erfüllt, sollten Sie ihm den Zuschlag geben.

Die künftige Zusammenarbeit basiert selbstverständlich nicht allein auf Zusagen und Handschlag. Grundlage bildet ein Vertrag, in dem eine vollständige, kontrollierbare Leistungsbeschreibung enthalten ist, die Qualität und Informationssicherheit in der Cloud zusichert. Außerdem ist es nützlich, sich Auditrechte für Dokumente, Beschreibungen und Protokolle einräumen zu lassen, um Prozesse nachvollziehen zu können. Für den korrekten Betrieb ausgelagerter Funktionen haben Schnittstellen eine große Bedeutung. Daher müssen zwischen Ihnen und Ihrem Provider die Prozesse eindeutig definiert werden – einschließlich der Verantwortlichkeiten, Notfallmanagement und bei Bedarf zu verschlüsselnden Kommunikationsverbindungen. Gleichermaßen müssen die Authentifizierung und Zugriffsrechte abgesichert werden. Denken Sie bitte auch daran, die Vorgehensweise beim Ausstieg aus der Cloud oder bei einem Anbieterwechsel zu regeln.

Schutz vor Systemausfällen

Der worst case für jedes Unternehmen ist der Totalausfall eines Systems, bei dem nicht nur die Betriebsabläufe gestört sind, sondern auch noch sämtliche Daten verlorengehen. Um das Ausfallrisiko in der Cloud zu begrenzen, lohnt sich ein Blick auf die vom Provider bereitgestellte Verfügbarkeit der Server. Doch damit ist es noch nicht getan. Entscheidend für die Funktionssicherheit sind vielmehr die Maßnahmen, die ergriffen werden, um Ausfälle zu vermeiden.

Das Schlüsselwort ist hier: Redundanz der gesamten IT-Infrastruktur. Ob Stromversorgung, Klimatechnik, Netzwerkstruktur, Zugangskontrolle oder Brandschutzeinrichtungen, alle relevanten Systemkomponenten sollten unabhängig voneinander mehrfach vorhanden sein. Noch besser wäre es, gleich das gesamte System zu doppeln. Fällt das eine aus, springt das andere ein, so dass alle Leistungen und Funktionen unverändert erhalten bleiben.

Ein Mehr an Sicherheit verspricht ebenfalls die Trennung von Datenspeicher, CPU und RAM. Sollte ein Element streiken, während die übrigen noch einwandfrei arbeiten, lässt sich zügig das jeweils benötigte Ersatzteil einbauen. Bei redundanten Komponenten kann der Betrieb sogar ungehindert weiterlaufen.

Die Verantwortlichkeiten des Providers

Zusätzlich zur Sicherung der eingesetzten Komponenten liegt auch die Verantwortung für die Datensicherheit beim Provider. Ein fundiertes Sicherheitskonzept, in dem beispielsweise regelmäßige Backups, das Spiegeln von Daten sowie eine redundante Datenspeicherung auf voneinander unabhängigen Systemen verbindlich festgeschrieben sind, zählt daher zu den grundsätzlichen Pflichten eines Cloud-Anbieters. Neben den technischen und organisatorischen Sicherheitsvorkehrungen ist ein Provider zudem verpflichtet, seine Mandanten streng voneinander zu isolieren.

Einen guten Schutz für Business-Anwendungen bietet erfahrungsgemäß die Private Cloud mit einem geschlossenen Netzwerk von IT-Ressourcen, die nur einem Unternehmen zur Verfügung steht. Firewall, Spamschutz und Security-Programme sorgen bei der Cloud-Infrastruktur zusätzlich für Sicherheit.

Sie möchten die Installation und Administration Ihrer Cloud-Lösung ganz in die Hände des Providers legen? Nicht dagegen einzuwenden. Vorausgesetzt. Diese betreibt ein hochsicheres Rechenzentrum. Wünschenswert sind außerdem verschiedene Sicherheitszonen für unterschiedliches Applikationen – beispielsweise für das Storage-Netz, für virtuelle Maschinen, für das Management sowie die Live-Migration.

Sobald nach dem Umzug in die Cloud der normale Betrieb beginnt, wird der Provider keineswegs aus der Pflicht entlassen, sich um die vertraglich zugesicherten Funktionen und Leistungen zu kümmern. Ein kontinuierliches Security Monitoring gewährleistet, das Störungen schnell erkannt und beseitigt werden können.

Noch ein Wort zum Schluss: Damit aus der Beendigung der Auslagerung ein happy end für den Nutzer wird, sollten Sie sicherstellen und auch überprüfen, dass beim Provider alle relevanten Daten über Geschäftsprozesse, betriebliche Interna, Systeme und Applikationen nachweislich und unwiderruflich gelöscht sind.

 

Fit für die Cloud? Stellen Sie Ihr IT-System auf d...
Notrufe im Unternehmen - was Sie beim Wechsel von ...

Ähnliche Beiträge

 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Gäste
Dienstag, 19. März 2019
Für die Registrierung bitte Benutzername, Passwort und nötige Felder eingeben.
 

Digitales Arbeiten

Erfahren Sie mehr über den Arbeitsplatz der Zukunft. Was erwartet uns und wie profitieren wir vom technischen Fortschritt? Antworten finden Sie in diesem E-Book.

E-Book laden

Cloud

Der Mittelstand zieht in die Cloud. Und das aus gutem Grund, denn die flexiblere Prozesse und Kostenvorteile überwiegen die Risiken. Details dazu  finden Sie in diesem E-Book.

E-Book laden