Security-Strategie für Public und Private Cloud
CW: Angenommen, Sie hätten mich in Sachen Cloud überzeugt: Welche Konsequenzen hat eine Cloud-Migration für meine Security-Strategie?
HÜLSMANN: Das hängt davon ab, auf welcher Ebene Sie einsteigen wollen und welches Cloud-Modell Sie wählen.
CW: Also ist die Strategie davon abhängig, ob Public oder Private Cloud?
HÜLSMANN: Ja, so haben wir in der Private Cloud eher das Modell des User Self Service. Der Provider oder Partner liefert die Infrastruktur bis hinauf zur Ebene der virtuellen Maschine und sorgt in diesem Bereich auch für die Sicherheit durch Zungangskontrolle, Redundanz etc. Auf die virtuelle Maschine aber kann der User die gleichen Images aufspielen, die er bislang auf seinen dedizierten Rechnern genutzt hat. Er ist für alle Ebenen oberhalb des Infrastruktur-Levels verantwortlich.
CW: Das bedeutet in der Praxis?
HÜLSMANN: Der Anwender sollte erst einmal seine Applikationen analysieren. Was will er in die Cloud auslagern? Hier gibt es sicher Anwendungen die nicht so wichtig sind, und lebenswichtige Applikationen, für die es ein Sicherheitskonzept gibt. Und dieses Konzept muss der Anwender im Detail analysieren, um sich dann mit dem Cloud-Partner zusammenzusetzen. Der Anwender muss sein Konzept in die Cloud hineinprojizieren und entsprechende Anforderungen an den Provider richten.
CW: Wie sollte er die formulieren?
HÜLSMANN: Der Anwender sollte auf alle Fälle SLAs vereinbaren. Genauso wie die IT intern Service-Level-Agreements gegenüber den Fachabteilungen zu erfüllen hat, sollte sie extern vom Cloud-Partner entsprechende SLAs einfordern. Deren Definition stellt sich oft als Stolperstein heraus.
CW: Wo sehen Sie typische Probleme?
HÜLSMANN: Nehmen Sie als ganz einfaches Beispiel die Verfügbarkeit. Eigentlich geht man davon aus - und die Netzanbieter kalkulieren so -, dass diese auf ein Jahr gerechnet wird. Etliche Anwender meinen jedoch, dass sich die Verfügbarkeit auf einen Monat bezieht. In der Praxis ist das ein enormer Unterschied. Deshalb sollten die Anwender bei SLA-Verhandlungen darauf achten, worüber geredet wird und ob beide Seiten unter einem Begriff das Gleiche verstehen.
CW: Den Schwarzen Peter hat also der Anwender - er muss prüfen, was der Cloud-Anbieter unter Security versteht?
HÜLSMANN: Ja, so können Sie das formulieren. Es fehlt ein Security-Zertifikat, auf das sich Anwender ähnlich wie auf ein TÜV-Siegel verlassen können und das einen Vergleich ermöglicht. Verbände und Insitutionen wie eco, Bitkom oder das BSI arbeiten an entsprechenden Entwürfen.
- Aufgepasst beim Kleingedruckten
Cloud Computing ist in der Geschäftswelt angekommen. Auch Compliance-Fragen sind nur noch scheinbar eine Hürde. Aber damit sich Wolken und Regeln nicht ausschließen, ist eine richtige Planung unabdingbar. Folgende Punkte sollten Sie beachten: - Die Vertragsgestaltung ...
sie sollte so effektiv wie möglich sein, um Zuverlässigkeit und Qualität der eingekauften Services beurteilen und potenzielle Risiken minimieren zu können. - Keineswegs kleinlich ...
konkrete Ausfallszenarien müssen unbedingt von Anfang an einkalkuliert werden. - Compliance-Verantwortliche ...
sie gehören schon in der Phase des Anforderungs-Managements mit an den Tisch. - Compliance-Anforderungen ...
sie ergeben sich aus Unternehmensform, Branche und den jeweiligen Best Practises. - Richtige Vorhehensweise ...
das heißt, erst die eigene Cloud-Infrastruktur verstehen, dann den entsprechenden Bedarf ableiten und zuletzt passenden Cloud-Provider auswählen. - Datenspeicherung in der Cloud ...
sie muss nach den zugrunde liegenden Lizenzverträgen respektive den anwendbaren Datenschutzregelungen erfolgen. - Gleichgewicht ...
die Business-Ziele, also wirtschaftliche Vorteile, müssen mit den Anforderungen an Compliance und Sicherheit ausbalanciert werden. - Risiken begrenzen
Anwenderunternehmen sollten Haftungs- und Service-Ansprüche an den Provider vertraglich geltend machen.