Diesen Artikel bewerten: 

Der richtige Cloud-Anbieter

Sicherheit im Rechenzentrum

Sven Denecken ist als Senior Vice President, Product Management und Co-Innovation SAP S/4HANA, bei SAP tätig. In seiner Rolle ist er unter anderem auch für strategische Projekte von SAP zuständig und arbeitet eng mit SAP-Partnern und Kunden zusammen.
Woran erkenne ich ein sicheres Rechenzentrum, habe ich als Kunde Einfluss darauf, in welchem Land die Daten gespeichert werden und können meine Daten vom Cloud-Anbieter gelesen werden? Fragen und Antworten rund um den Rechenzentrumsbetrieb, die Datenhaltung und den Systembetrieb.

Wie sicher ist das Rechenzentrum meines Cloudanbieters?

Die Rechenzentren und Netzwerke, die den Cloud-Lösungen (SaaS und PaaS) als Infrastruktur zugrunde liegen, unterliegen höchsten Anforderungen. Anbeieinige Standards, die Cloud-Anbieter vorweisen können sollten:EU 95/46 EC, PCI-DSS, ISO 27002, BS7799, ASIO-4, FIPS Moderate, BS10012, SSAE-16/SOC2

Ein Anbieter, der mit seinen Informationen zu diesen Standards zu vage bleibt, ist sicher weniger vertrauenswürdig als derjenige, der ihnen eine volle Transparenz gewährt.

Ein Beispiel, wie man eine solche Transparenz erzeugen kann, ist die virtuelle Tour durch ein Rechenzentrum. Als Beispiel unserer SAP Rechenzentrum hier:www.sapdatacenter.com.

Zudem empfehlen wir einen physischen Besuch im Rechenzentrum um sich vor Ort zu informieren.

Kann ich als Kunde selbst bestimmen, in wo genau / in welchem Land meine Daten gespeichert werden?

Diese ist eine sehr häufig gestellte Frage. Gerade wenn es um die Privacy der Daten geht, wollen Kunden genau wissen, wo ihre Daten gespeichert werden. Auch außerhalb Europas ansässige Unternehmen sind häufig daran interessiert, ihre Daten in Europäischen Rechenzentren, besser noch in deutschen, gespeichert zu wissen. Die strengen Europäischen Restriktionen, speziell das Bundesschutzgesetz in Deutschland, sind eine Trutzburg von Sicherheit und Vertrauen. Die Gesetze unterliegen seit 2007 ständigen Reformen, um eine Vielzahl von Datenschutzrichtlinien mit einzubeziehen.

Dem Kunden sollte es offen stehen, in welchem Land und Rechtssystem die Daten gespeichert werden sollen. Jedes Rechenzentrum, unabhängig von Ort und Lage, sollte dabei die gleichen Standards erfüllen und von einem technischen Standpunkt aus gesehen, mit anderen Rechenzentren innerhalb des Netzwerks jederzeit ersetzbar sein.

Auch sollte sichergestellt werden, dass bei Backups der geographische Rechtsraum, z.B. Deutschland, nicht verlassen wird.

Ein weiterer Aspekt der mit der Entwicklung und strukturellen Strategie der Lösung selbst zu tun hat, sind hybride Szenarien. Entweder die Kombination von Public und Private Cloud Lösungen (Hybride Cloud), oder gar die Verknüpfung mit Systemen die der Kunden selbst betreibt (on premise). Entscheiden zu können welche Daten "im Haus" liegen, ist ein nicht nur gefühlter Sicherheitsaspekt.

Wie kann ich sicher sein, dass das Rechenzentren auf dem neuesten Stand sind?

Ein hoher Standard, den ein Rechenzentrum erlangen kann, ist der "ANSI/TIA/EIA-942 Tier IV+"-Standard. Das ist ein Indiz dafür, dass das Rechenzentrum mit den höchsten Sicherheitsmaßnahmen arbeitet.

Regelmäßige Auditierungen durch externe Prüfer stellen zudem sicher, dass das Qualitätsniveau kontinuierlich gehalten und ausgebaut wird.

Werden meine Daten ganzheitlich geschützt und können diese von anderen Kundendaten getrennt werden?

Es ist wichtig daran zu erinnern, dass sich Daten durch verschiedene Ebenen (Endgerät, Benutzeroberfläche, Lösung, Plattform, Infrastruktur) bewegen und jede dieser Ebenen eine Datensicherheit garantieren sollte.

Eine Trennung der Daten sollte auf allen Ebenen gewährleistet sein. Heterogene Daten sollten möglichst von anderen Kundendaten getrennt sein, dies geschieht unter anderem durch Maßnahmen wie, eindeutige Datenbanktabellen, Verschlüsselte Datenspeicherung, verschiedene Sicherheitsebenen.

Können meine Daten von dem Cloudanbieter gelesen werden?

Betreiber von Rechenzentren müssen ihren Mitarbeitern Zugriff auf Kundendaten gewähren, wenn dieser für Wartungsarbeiten und Fehlerkorrekturen benötigt wird. Der Zugang muss hier aber begrenzt sein und jeder Mitarbeiter sollte bei jedem Zugang einen individuellen User mit einmalig generierten Passwörtern bekommen.

Auch der Zugang ("Schlüssel") kann in die Hände des Kunden gelegt werden, um maximale Einbindung und somit Sicherheit beim Wartungs- / Service-Zugriff zu ermöglichen.

Wie können Netzwerke isoliert werden?

Netzwerkarchitekturen sollten mehrstufig sein. Der Zugriff auf das Intranet sollte durch eine entsprechende Kontrolle eingeschränkt sein, welche unbekanntes Equipment oder Geräte, die nicht mit dem Betreiber konform sind, von dem Zugriff auf das Netzwerk abhält.

Wie kann der Systembetrieb des Cloud-Anbieters sichergestellt werden?

Jeder PC oder Laptop, der von Mitarbeitern des Betreibers genutzt wird, um Serviceangebote durchzuführen, sollte durch Sicherheitssoftware überwacht werden. Das hilft bei der Sicherstellung von Systemen und Anwendungen, die von den Mitarbeitern genutzt werden.

Bei Fragen zur Datensicherheit oder anderen Themen rund um das Thema Cloud Computing empfehle ich Ihnen einen Blick auf dasSAP Community Networkzu werfen in dem wir regelmäßig Beiträge zu den heißesten Themen in der Cloud veröffentlichen.

Um jederzeit die aktuellsten Neuigkeiten zum Thema Cloud Computing zu erhalten folgen Sie mir und meinem Team auf LinkedIn oder Twitter:@SDenecken,@BeSchulzeoder@SAPCloud