Sicherheit für die Cloud:
Praxis-Tipp: Security von Cloud-Computing-Diensten sicherstellen
Vielen Anwendern sind Cloud-Computing-Services im wahrsten Sinne des Wortes noch zu »wolkig«. Ein Hauptkritikpunkt: Unklarheiten in puncto Sicherheit. Die Beratungsfirma Experton Group hat zehn Regeln zusammengestellt, mit denen sich »Cloud-Security« sicherstellen lässt.
Rechenleistung, Anwendungen oder Speicherkapazitäten in die »Cloud« zu verlagern, ist einer der zentralen IT- und Netzwerktrends. Die Anbieter solcher Services stellen naturgemäß die Vorteile solcher Dienste in den Vordergrund: die höhere Flexibilität für den Anwender, der Services und IT-Kapazitäten nach Bedarf ordern kann oder die Möglichkeit, Daten auf einfache Weise zu sichern.
Das Rennen um den Kunden wird derjenige Anbieter von Cloud-Computing-Diensten machen, der auch Aspekte wie Security und Compliance berücksichtigt.
»Die Diskussion wird heute oftmals auf technologischer Ebene geführt, doch der wahre Schlüssel zum Erfolg von Cloud-Services liegt in den Aktivitäten rund um Risikoanalyse, Service-Level-Agreements und Provider-Management«, sagt Wolfram Funk, Senior Advisor bei der Beratungsgesellschaft Experton Group [1]. Dann lässt sich durch extern bezogene Cloud-Services mit vertretbarem Aufwand ein höheres Sicherheitsniveau als bei der Inhouse-Variante erzielen.
Doch gerade was die Sicherheit von Cloud-Services betrifft, herrscht große Unsicherheit bei potenziellen Nutzern. Zwar prüfen viele deutsche Unternehmen extern angebotene Cloud-Services. Als Hemmnis für deren Einsatz werden aber immer wieder Sicherheitsbedenken und Compliance-Aspekte ins Feld geführt.
»Die Situation erscheint paradox: Grundsätzlich ermöglichen es externe Cloud-Services der Mehrzahl der Kunden, die Sicherheit bestimmter Anwendungen und Dienste auf ein höheres Niveau als bislang zu heben«, so Wolfram Funk. »Da externe Cloud-Dienstleister ihre Services für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben.«
Mehr Geld für private als öffentliche Cloud-Services
Bedenken bezüglich der Sicherheit ist auch einer der Faktoren, der laut der Markforschungsgesellschaft Gartner [2] die Verbreitung von Public-Cloud-Angeboten hemmt. Firmen setzen demnach derzeit stärker auf »Private Clouds«, die sie besser kontrollieren können.
Zumindest bis 2012, so Gartner, werden Unternehmen mehr Geld in den Aufbau von privaten Cloud-Angeboten investieren als in die Nutzung von Public-Cloud-Services.
Beziehungen zum Service-Provider eminent wichtig
Laut Experton Group sind technische Maßnahmen zur Absicherung von Cloud-Services bereits heute einsetzbar. Noch wichtiger jedoch ist nach Ansicht der Berater jedoch die »richtige« Ausgestaltung der Beziehung zum Cloud-Dienstleister.
Den Rahmen geben dabei laut Wolfram Funk die Normen der ISO-2700x-Reihe, der BSI-IT-Grundschutz und ITIL vor. Die Beratungsgesellschaft hat zehn Regeln formuliert, welche die Sicherheit von extern bezogenen Cloud-Services sicherstellen sollen:
1. Interne Organisation: Zunächst die interne Organisationsstruktur auf Vordermann bringen sowie Verantwortlichkeiten und Rollen für Informationssicherheit intern klären. Dies gilt auch für das Informationssicherheits-Management und die Steuerung (Governance) von Informationssicherheit.
2. Steuerung durch Nutzer: Die Verantwortung für die Informationssicherheit insgesamt und für Koordination, Management und Qualitätskontrolle externer Dienstleister bleibt immer im Unternehmen. Das gilt auch für Cloud-Services, die von externen Service-Providern bezogen werden.
3. Risikoanalyse: Eine detaillierte Risikoanalyse für den spezifischen Cloud-Service durchführen, der von einem externen Anbieter bezogen wird. Gleiches gilt für die betroffenen Informationen und Prozesse. Dabei auch Compliance-Risiken mit berücksichtigen.
4. Geschäftsmodell kritisch prüfen: Ist der Business Case stimmig? Wirtschaftliche Aspekte, interne und kundenorientierte Prozessverbesserungen und weitere potenzielle Nutzeneffekte müssen den erwarteten (Rest-)Risiken gegenübergestellt werden.
Auch Ausstiegsszenarien festlegen
5. Sicherheitsarchitektur erarbeiten: Arbeitsteilung und Schnittstellen zwischen dem Provider und dem eigenen Unternehmen detailliert festlegen. Dabei prüfen, ob die die technischen und organisatorischen Sicherheitsmaßnahmen Lücken aufweisen und diese schließen.
6. Prozesse definieren: Prozesse für Reporting, Incident-Management und Audits beim Dienstleister festschreiben. Hier liegt in der Praxis ein extrem hohes Konfliktpotenzial, Stichwort »Verantwortung abschieben«.
Die Experton Group hat mehrere Anbieter von Cloud-Services miteinander verglichen.
7. Anbieter prüfen: Im Vorfeld genau prüfen, oder der Service-Provider die geforderten beziehungsweise zugesagten Leistungen auch tatsächlich erbringen kann. Ein wichtiger Punkt: Nachhaken, ob der Provider Subunternehmen einsetzt. Wenn ja, kann dies das Risiko erhöhen.
8. Die Einhaltung regulatorischer Anforderungen durch den Provider klären: Hier ist beispielsweise festzulegen, wie der Anbieter mit (sensiblen) Daten umzugehen hat, Stichwort Datenschutz. Dabei ist zu berücksichtigen, dass es in den einzelnen Ländern unterschiedliche Regelungen gibt, die das Speichern von personenbezogenen Informationen oder Geschäftsdaten regeln. Diese Vorgaben müssen in den Vertrag mit dem Provider aufgenommen werden.
9. Messbare Serviceniveaus festlegen: Für sicherheitsrelevante Kriterien sollen nur solche Service-Level vereinbart werden, die sich messen lassen. Ein Beispiel: ein Prozentsatz, der die Verfügbarkeit eines Services definiert (99,99 Prozent). Die vorgeschlagene Messmethode muss sorgfältig geprüft werden.
10. Ausstiegsszenario fixieren: Der Kunde sollte im Vorfeld festlegen, wie die Ausstiegsbedingungen im Falle eines Provider-Wechsels aussehen. Ein »Vendor-Lock-in« kann laut Experton Group den Nutzer von Cloud-Services im Ernstfall teuer zu stehen kommen.
Noch ein Hinweise: Der Beitrag »Praxis IT-Provider-Management: Auf den richtigen Vertrag kommt es an [3]« geht detailliert auf Punkte ein, die beim Abschluss eines Vertrages mit I-Service-Providern zu beachten sind.
[1] http://www.experton-group.de/
[2] http://www.gartner.com/
[3] http://t4live.cmp-weka.de/praxis-it-provider-management-auf-den-richtigen-vertrag-kommt-es-an/?no_cache=1&cHash=1f22925c86
- 1. Seite: Praxis-Tipp: Security von Cloud-Computing-Diensten sicherstellen
- 2. Seite: Auch Ausstiegsszenarien festlegen
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
