Sicheres Cloud-Computing: Das müssen Unternehmen beachten
Es gibt Vorsichts- und Gegenmassnahmen
Völlig hilflos sind die Cloud-Anwender nicht. Lubich empfiehlt eine Bewertungs-Checkliste anzulegen, auf der wichtige Fragen an den Provider zusammengetragen werden. Zu diesen gehören etwa die Frage nach einem dokumentierten Sicherheitskonzept des Anbieters. Abklären sollte man auch, wie die Kundenseparierung im Rechenzentrum genau erfolge. Gehört die Datenverschlüsselung zum Service, ist ein weiterer Punkt. Werden gelöschte Daten wirklich gelöscht, auch auf Back-ups, sollten Anwender laut Lubich ebenfalls abklären.
Auch bei der Verfügbarkeit müsse man den Anbieter genaustens prüfen. So besässen Cloud-Grössen wie Amazon ein «Vorkaufsrecht» auf die Rechen- und Speicherkapazität des Dienstes, berichtet Lubich. «Das heisst während eines Black Friday oder vor Weihnachten könnte es knapp werden für alle anderen Kunden».
Als Informationsquellen nennt er sodann einen Ratgeber der Cloud Security Alliance sowie den «Anforderungskatalog Cloud Computing C5», der vom deutschen Bundesamt für die Sicherheit in der Informationstechnik (BSI) herausgegeben wurde.
Schliesslich sieht Lubich in der Implementierung von Cloud Access Security Brokers (CASB) eine Möglichkeit, Cloud-Dienste abzusichern. Bei dieser Methode werden die Bedürfnisse und Anforderungen der User abgebildet und in konkrete Anweisungen an den Provider übersetzt. Die CASB nehmen somit eine Art Wächterfunktion ein, die es einer Firma ermöglicht, die Sicherheitsrichtlinien über die Grenzen ihrer eigenen Infrastruktur hinaus durchzusetzen.