Diesen Artikel bewerten: 

Sicher in die Cloud migrieren

5 Fragen bei der Auswahl des Cloud-Anbieters

Henning Reinecke (geb. 1968) studierte Betriebswirtschaftslehre an der Wirtschaftsakademie in Hamburg. Anschließend war er vier Jahre im Konzerneinkauf der Beiersdorf AG in Hamburg tätig. Von 1994 an sammelte über 16 Jahre nationale und internationale Projekt-, Vertriebs- und Führungserfahrung beim IT-Dienstleister CSC. Am 1.Oktober 2010 wechselte er als Vertriebsleiter Consulting zur INFO AG. Bis zu seiner Berufung in den Vorstand der INFO AG im Jahre 2012 verantwortete er den Consulting- und Outsourcing-Vertrieb in Norddeutschland. Im Vorstand der INFO AG war Reinecke für die Bereiche Vertrieb und Marketing verantwortlich. Henning Reinecke ist seit 1. September 2013 Vorstand der QSC AG und für den Vertrieb sowie die marktorientierte Weiterentwicklung des gesamten ITK-Angebots verantwortlich.
Bei der Migration von Daten und Applikationen in die Cloud sollten Unternehmen vorab prüfen, welche organisatorischen und technischen Anforderungen ein Provider erfüllt. 5 Fragen, die Sie sich bei der Auswahl des Cloud-Anbieters stellen sollten.

Wollen Unternehmen ihre IT-Systeme in die Cloud auslagern, sollten Sie eine ganzheitliche Strategie verfolgen und zwar unabhängig davon, ob sie ihre gesamte IT im eigenen Rechenzentrum betreiben oder Teile an einen Cloud-Provider auslagern.

Die Ergebnisse einer Studie von PwC zum Thema IT-Sicherheit und Informationsschutz von 2014 sind niederschmetternd: Deutschland belegt beim so genannte Informationsrisiko-Index den letzten Platz

Ein wirksamer Schutz der Daten hat oberste Priorität. Steht eine Entscheidung über die Migration ausgewählter Applikationen in die Cloud an, müssen Unternehmen vorab die zentralen Fragen der IT-Sicherheit genau abklären. Diese fünf Fragen sollten unbedingt vorab geklärt werden:

1. Wie schützt der Anbieter sein Netz und seine Server gegen Angriffe?

Umfrage zu CRM in der Cloud

Unternehmen sollten sich davon überzeugen, dass der Cloud-Provider regelmäßig systematische Überwachungen durchführt, um ungewöhnliches Verhalten aller Systemkomponenten sofort aufzudecken und Schwachstellen zu beseitigen. Das schließt auch die Kontrolle aller Logfiles und Protokolle der Server ein. Darüber hinaus sollten Systemkomponenten auch regelmäßig auf offene Ports und Sicherheitslücken untersucht werden. Die Überwachung aller Systemkomponenten muss lückenlos rund um die Uhr erfolgen.

2. Sind die Daten in einem deutschen Rechenzentrum besser geschützt als im Ausland?

Im Mittelpunkt stehen dabei die legalen Zugriffsmöglichkeiten auf Daten, wie sie sich aus dem US-amerikanischen Patriot Act ergeben. Das seit 2001 geltende Gesetz erlaubt es US-Behörden, Zugriff auf die Server von US-Unternehmen oder solchen mit US-Töchtern zu erlangen - selbst dann, wenn sich die Server nicht auf dem Staatsgebiet der USA befinden. Die nur in Deutschland ansässigen Anbieter von Cloud-Services sind vom Patriot Act nicht betroffen. Für sie gilt das Bundesdatenschutzgesetz, das enge Regeln für die Verarbeitung und Speicherung personenbezogener Daten vorsieht.

3. Wie sicher sind Firmennetzwerke des Cloud-Providers?

Ein bedeutendes Kriterium ist beispielsweise der Einsatz von MPLS, bei dem Carrier im Vorfeld die jeweiligen Verbindungswege der Datenpakete festlegen können. Das verhindert unter anderem, dass die Daten auf ihrem Weg vom Firmennetzwerk des Kunden zum Cloud-Provider über unbekannte Wege gestohlen werden können. Für die Sicherheit sollten netzbasierte Firewalls zum Einsatz kommen, die Angriffe bereits im Übertragungsnetz abweisen.

4. Wird eine verschlüsselte Datenübertragung angeboten?

Gerade bei sensiblen und vertraulichen Daten sollten Unternehmen prüfen, welche Optionen zur Verschlüsselung von Daten angeboten werden, etwa zu einer verschlüsselten Übertragung innerhalb eines MPLS-VPNs. Einige Anbieter verschlüsseln standardmäßig den Datenverkehr zwischen den Geräten ihrer Kunden und den Servern im Cloud-Rechenzentrum. Eine höhere Sicherheit entsteht, wenn die Daten vor der Übertragung beim Kunden sowie zusätzlich auf den Storagesystemen des Cloud-Providers verschlüsselt werden.

5. Welche Standards erfüllt das Rechenzentrum des Cloud-Providers?

Eine bedeutende Rolle in diesem Zusammenhang spielt die internationale Norm ISO/IEC 27001. Auch wenn sie unabhängig von der Diskussion um IT-Sicherheit in der Cloud entstand, hat sie sich in der Zwischenzeit als Maßstab für Cloud-Rechenzentren durchgesetzt. Cloud-Provider, die ihre Kompetenzen bezüglich der IT-Sicherheit und der Effizienz ihres Informationssicherheits-Managementsystems (ISMS) nachweisen wollen, lassen ihre Rechenzentren nach ISO/IEC 27001 zertifizieren. Für potentielle Kunden ist dies ein klares Signal, dass der Cloud-Provider notwendige Maßnahmen zur Einhaltung und ständigen Verbesserung der Informationssicherheit implementiert hat und in regelmäßigen Abständen überprüfen lässt.