IT-Beratung empfiehlt striktere Vertragsklauseln:
Cloud-Sicherheit ist Verhandlungssache

von Folker Lück (folker.lueck@crn.de)

Share
31.08.2010

Oft gehen Cloud-Computing-Verträge auf Sicherheitsrisiken nur mangelhaft ein, obwohl die damit verbundene Schadenswahrscheinlichkeit hoch ist. Davor warnt das jüngste Opinion Paper der ICT-Management-Beratung Detecon.

Für Unternehmen, die Cloud-Lösungen einführen möchten empfiehlt es sich, Sicherheitsanforderungen früh und systematisch zu definieren sowie gegenüber dem jeweiligen Cloud-Anbieter vertraglich festzuschreiben. Zugleich betonen die Autoren des Detecon-Opinion Paper, dass Anwender beim Umstieg zu Cloud Computing ihre IT-Sicherheit sogar erhöhen können.

»Grundsätzlich ist Cloud Computing nicht sicherer oder unsicherer als andere IT-Betriebsmodelle«, betont Bernd Jaster, Detecon-Berater und Koautor der Studie. »Die neuen und spezifischen Risiken müssen nur ausreichend adressiert und ernst genommen werden«. Viele Gefährdungen ließen sich schon durch detailliert formulierte Vertragsklauseln vermeiden: Falls beispielsweise die Daten wegen gesetzlicher Vorschriften in einem bestimmten Land zu halten sind, müsse man einen Dienstleister wählen, der das vertraglich zusichere.

Zugleich biete Cloud Computing Chancen für eine höhere IT-Sicherheit als bisher. Zum Beispiel führe die mit der Wolke verbundene Zentralisierung der IT-Services immer auch zu einer höheren Standardisierung von IT-Prozessen und zu spezialisierterem Fachwissen, was die Umsetzung von Schutzmaßnahmen erleichtere. Vor allem bei kleinen und mittleren Betrieben sei mit einem eher höheren Sicherheitsniveau zu rechnen, da die IT-Aufgaben dann in den Händen größerer und erfahrener IT-Dienstleister lägen.

Kriterienkatalog für Cloud Computing

Detecon weist darauf hin, dass Unternehmen, die den Einstieg in Cloud Computing planen, einen Kriterienkatalog benötigen, der unter Berücksichtigung von Sicherheitsanforderungen und Schutzzielen erstellt wird. Solch ein Katalog sei ein wichtiges Hilfsmittel bei der Anbieterauswahl und den anschließenden Vertragsverhandlungen. Nur so könne ein tragfähiges Sicherheitskonzept für die Migration und den Betrieb der IT-Dienste in der Cloud gewährleistet werden.



Das Detecon-Papier bewertet die Risiken nach möglicher Schadenshöhe und Eintrittswahrscheinlichkeit. So befinden sich zum Beispiel IT-Dienste und -Anwendungen aus Sicherheitsgründen traditionell in unterschiedlich geschützten Zonen innerhalb eines Netzwerks. Beim Cloud Computing lässt sich diese Segmentierung bei Software-Schwachstellen oder Fehlkonfigurationen vergleichsweise leicht umgehen.

Ein weiterer wichtiger Aspekt ist der geografische Ort der Daten. Vorgaben seitens des Geschäfts und zum Teil auch der Gesetzgeber verlangen für manche IT-Dienste, dass deren Daten in bestimmten Ländern oder Regionen gehalten werden. Doch nicht alle Cloud-Computing-Anbieter wollen oder können dies garantieren.

Solche Sicherheitslücken behindern derzeit ein noch schnelleres Wachstum des Cloud Computings. Dies belegt eine im Detecon-Papier zitierte CIO-Research-Studie, nach der 45 Prozent der befragten Chief Information Officers Sicherheit mit Abstand am häufigsten als kritischen Erfolgsfaktor für Cloud Computing nennen. Zugleich unterzieht nicht einmal jedes zehnte die Cloud nutzende Unternehmen den gebuchten Service einer ernsthaften Sicherheitsprüfung oder schult Mitarbeiter auf Gefährdungen. Dies ist das Ergebnis einer aktuellen Untersuchung des Ponemon Institute.

Detecon ist eine ICT-Management-Beratung. Der Leistungsschwerpunkt besteht in Beratungs- und Umsetzungslösungen, die sich aus dem Einsatz von Informations- und Kommunikationstechnologien ergeben. Das Unternehmen ist eine Tochter der T-Systems International.