Cloud Security
05.03.2010, 11:30 Uhr
zehn hilfreiche Regeln
Extern bezogene Cloud-Services können für mehr Sicherheit sorgen als Inhouse-Varianten. Dabei sollten allerdings einige Regeln beachtet werden.
«Die Situation erscheint paradox», meint Wolfram Funk, Senior Advisor bei der Experton Group: «Da externe Cloud-Dienstleister ihre Dienste für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben.» Insofern ermöglichten sie theoretisch mehr Sicherheit als Inhouse-Systeme.
Die Diskussion um die Sicherheit von Cloud-Services werde oft auf technischer Ebene geführt, doch der Schlüssel zum Erfolg liege in Risikoanalyse, Service-Level-Agreements und Provider-Management, so die Experton-Berater. Wichtiger als solide technische Massnahmen zur Absicherung von Cloud-Services sei deshalb die Beziehung zum Dienstleister. Folgende zehn Regeln sind dabei hilfreich:
1.Zunächst muss das Unternehmen die interne Organisationsstruktur auf Vordermann bringen sowie Verantwortlichkeiten und Rollen für die Informationssicherheit intern klären.
2.Die Verantwortung für die Informationssicherheit insgesamt sowie für Koordination, Management und Qualitätskontrolle externer Dienstleister verbleibt immer im Unternehmen.
3.Eine detaillierte Risikoanalyse für den spezifischen Cloud-Service sowie die zur Debatte stehenden Informationen und Prozesse ist unabdingbar - einschliesslich der Compliance-Risiken.
4.Wirtschaftliche Aspekte, interne und kundenorientierte Prozessverbesserungen sowie weitere potenzielle Nutzeneffekte sind den erwarteten (Rest-) Risiken gegenüberzustellen.
Mehr Regeln für Cloud Security finden sich auf der nächsten Seite.
5.Die Sicherheitsarchitektur muss Arbeitsteilung und Schnittstellen zwischen dem Provider und dem eigenen Unternehmen detailliert festlegen.
6.Prozesse für Reporting, Incident-Management und Audits beim Dienstleister sollten festgeschrieben werden.
7.Kann der Cloud-Dienstleister die angeforderte Leistung auch tatsächlich erbringen? Hier ist auch zu hinterfragen, ob er Subunternehmer einsetzt, die das Risiko eventuell erhöhen.
8.Die Einhaltung regulatorischer Anforderungen durch den Provider muss geklärt und festgeschrieben werden, unter anderem in Bezug auf den Datenschutz.
9.Für sicherheitsrelevante Kriterien dürfen nur solche Service-Levels vereinbart werden, die gemessen werden können.
10.Der Kunde sollte im Vorfeld festlegen, wie die Exit-Bedingungen im Falle eines Provider-Wechsels aussehen. Ein «Vendor-Lock-in» kommt das Unternehmen im Ernstfall teuer zu stehen.