Computerwoche-Webcast

Compliance in der Cloud

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Rund um Datenschutz und Sicherheit müssen CIOs in der Cloud nicht nur gesetzliche Vorgaben beachten, sondern auch interne. Ein Webcast der Computerwoche zeigt, wie es geht.
Sicherheit bleibt eine große Herausforderung beim Cloud Computing.
Sicherheit bleibt eine große Herausforderung beim Cloud Computing.
Foto: Ventura - shutterstock.com

Das Stichwort Cloud lässt bei manchem IT-Chef die Alarmglocken schrillen. Gesetzliche Bestimmungen und interne Vorgaben, Datenschutz und Auditing - die Herausforderungen sind hoch. Wie Cloud-Projekte dennoch zum Erfolg werden, erläutert ein Webcast der Computerwoche.

Bertram Dorn, Specialized Solutions Architect AWS EMEA Security and Compliance bei Amazon Web Services (AWS), jedenfalls steht für das Motto "ohne Sicherheitsprobleme in die Cloud". Er diskutiert darüber mit Thorsten Pelka, Geschäftsführer Networks Direkt, und René Schneider, Solutions Architect und Enterprise Cloud Experte bei DB Systel.

Es geht in dem Webcast nicht nur um konkrete Aufgaben von Datenschutz- und Sicherheitsbeauftragten in den Unternehmen, sondern auch darum, was der Cloud-Provider übernimmt. Arne Arnold von der Computerwoche moderiert.

Umfrage zu CRM in der Cloud

Die Befürchtungen rund um die Cloud ordnet Pelka drei Kategorien zu. Natürlich ist da die Angst vor ungesteuertem Zugriff auf sensible Daten. Hier ist es wichtig, dass Entscheider alle Daten zunächst einmal nach Gefährdungsgrad klassifizieren. Zum Zweiten ist die Shared Responsibility zu klären. Was übernimmt der Provider, was bleibt beim Kunden? Und drittens - "das ist der schwierigste Teil", so Pelka - geht es um die Angst vor Nicht-EU-Autoriäten, die Datenzugriff begehren.

Cloud ist keine Frage von Null und Eins

DB Systel und Amazon nun bieten den Anwendern eine komplette private Cloud an. DB Systel-Manager Schneider stellt fest: "Viele Entscheider arbeiten hier nach Null und Eins - entweder vollständig in die Cloud oder gar nicht. Das aber bildet nicht die Realität ab." AWS-Mann Dorn beobachtet, dass die Unklarheiten oft schon bei Terminologie und Verständnis anfangen.

Schneider greift den Punkt von der Klassifizierung nochmals auf. DB Systel hat ein Kritikalitätsmodell entwickelt und verschiedene Stufen festgelegt. Dieses Modell basiert auf dem Abarbeiten von rund 500 Fragen. Jeder Punkt wurde einzeln durchgegangen. Auf diesem Kritikalitätsmodell basieren ein Cloud Leitfaden und schließlich ein globales Cloud Template. Das beinhaltet ein vorgefertigtes compliant Cloud Setup und einheitliche Security Messpunkte über alle Accounts.

Nach so viel Expertenmeinung will Moderator Arnold von den Webcast-Zuschauern wissen, wo sie die größten Herausforderungen in Sachen Cloud sehen. Das Ergebnis ist eindeutig: 57 Prozent nennen Sicherheit, 45 Prozent außerdem gesetzliche Vorgaben und 47 Prozent die Integration in vorhandene Strukturen.

Alle Diskussionsteilnehmer sind sich denn auch darüber einig, dass Security und Privacy-Verantwortliche von Anfang an in Cloud-Projekte eingebunden werden müssen. Eine weitere Zuschauer-Umfrage präzisiert das Ergebnis so: jeweils 57 Prozent der Befragten fürchten den Zugriff auf geheime Unternehmensdaten oder den Diebstahl von Kundendaten. Jeweils 43 Prozent sorgen sich um Datenschutz-Verstöße und das Risikomanagement.

Was passiert mit USB-Sticks?

AWS-Manager Dorn kommentiert, Umfragen vom Branchenverband hätten jedoch gezeigt, dass die meisten Schäden durch Insider entstehen. "Die Ergebnisse hier sind invers", sagt er. Das beginnt ja schon bei einer ganz simplen Frage: Was passiert mit USB-Sticks?

Für Netwoks Direkt-Manager Pelka zeigen diese Umfragen, dass das Thema Cloud noch immer neu ist. "Natürlich schlägt die Unsicherheit auch auf die Datenschützer und CISOs durch", sagt er. Denn: "Die Cloud weiß nicht, wer was darf". Rechte werden so verwaltet, wie das Anwenderunternehmen sie einstellt.

Ein Webcast-Zuschauer meldet sich zu Wort und betont, dass jede Verschlüsselung immer nur so gut ist wie das Key-Management. "Natürlich kann unser Kunde sein eigenes Key-Management betreiben", sagt AWS-Manager Dorn.

Pelka fasst den Status Quo in Deutschland so zusammen, dass viele Unternehmen zwar auf Outsourcing vorbereitet sind, aber nicht unbedingt auf die Cloud. Dazu Dorn: "Cloud is the new normal, das muss ankommen!"


Hier den Webcast ansehen