In den Unternehmen stehen Themen wie Sicherheit und Compliance bei virtueller IT hoch im Kurs. Getrieben wird das Interesse für Security durch die theoretische Cloud Computing-Debatte, die schrittweise Bereitstellung flexibler, skalierbarer Dienste innerhalb eigener virtualisierter Infrastrukturen und die zunehmende Nachfrage nach Public Cloud Services. Altbekannte Sicherheitsherausforderungen, etwa im Desktop-Bereich, unternehmensweiter Datenschutz oder Identity Management lassen sich mit virtuellen Technologien oft deutlich effektiver lösen als im klassisch strukturierten Rechenzentrum. Wer außerdem seine IT und Informationen mit einem individuellen und ganzheitlichen Security-Konzept schützt sowie rechtliche Fragen klärt, profitiert mit Sicherheit vom Cloud Computing.
In klassischen physischen Infrastrukturen stellen Desktops und PCs ein potenzielles Sicherheitsrisiko dar. Das Verhalten der User und die zunehmend globale Arbeitsweise der Teams erschweren die Kontrolle der Endgeräte-Peripherie. An dieser Stelle können Unternehmen mit virtualisierten Desktop-Umgebungen neue Möglichkeiten für Datenschutz und Kontrolle der Infrastruktur für sich erschließen. Virtuelle Desktops werden im Wolkenmodell als Host-Service ausgeliefert und sämtliche Endgeräte-Konfigurationen sind zentral im Data Center angesiedelt. Das virtuelle Konzept mindert das Risiko für Datenverlust, wenn Mitarbeiter-Notebooks auf Bahnhöfen oder in Hotels abhandenkommen. Da auf lokalen Festplatten keinerlei kritische Daten mehr gespeichert sind, ist in solchen Fällen auch kein Informationsabfluss aus dem Unternehmen zu befürchten. IT-Administratoren installieren sämtliche Security-Patches ebenso wie alle Anwendungs- und Betriebssystem-Upgrades von zentraler Stelle aus und sichern so effizient die Aktualität der Endgeräte. Isolationstechniken der Desktop-Virtualisierung verhindern zudem, dass private und geschäftliche Gerätenutzung kollidieren. Neben Kostensenkung, stabilerer Performance und einem höheren Sicherheitsniveau, gehört auch die verbesserte Compliance-Fähigkeit zu den Vorteilen der Client-Virtualisierung: Die Software-Lizenzen der Endgeräte sind auf einem Server konzentriert und können dort jederzeit eingesehen werden. Ansonsten müssten Administratoren jedes physische Gerät einzeln unter die Lupe nehmen. Vom Effizienzgewinn einmal abgesehen, sind Verstöße gegen geltende Lizenzvereinbarungen bei virtuellen Desktops weit unwahrscheinlicher als bei ihren physischen Vorgängern.
- Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten. - Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen? - Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet? - Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben? - Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert? - Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann? - Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert? - Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen? - Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle? - Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion? - Transaktionen im Internet
Liegen Verisign-Zertifikate vor? - Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren? - Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert? - Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders? - Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie? - Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)? - Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind? - Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden? - Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind? - Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?