Experton Group

Zehn Regeln für Cloud Security

Karin Quack arbeitet als freie Autorin und Editorial Consultant vor allem zu IT-strategische und Innovations-Themen. Zuvor war sie viele Jahre lang in leitender redaktioneller Position bei der COMPUTERWOCHE tätig.
Mit vertretbarem Aufwand lässt sich durch extern bezogene Cloud-Services mehr Sicherheit erzielen als bei der Inhouse-Variante. Aber dazu gilt es einige Regeln zu beherzigen.
Die Cloud - ein Hort der Sicherheit?
Die Cloud - ein Hort der Sicherheit?
Foto: philliefan99, flickr

"Die Situation erscheint paradox", sagt Wolfram Funk, Senior Advisor bei der Experton Group: "Da externe Cloud-Dienstleister ihre Dienste für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben." Insofern ermöglichten sie theoretisch mehr Sicherheit als Inhouse-Systeme.

Die Diskussion um die Sicherheit von Cloud-Services werde oft auf technischer Ebene geführt, doch der Schlüssel zum Erfolg liege in Risikoanalyse, Service-Level-Agreements und Provider-Management, so die Experton-Berater. Wichtiger als solide technische Maßnahmen zur Absicherung von Cloud-Services sei deshalb die Beziehung zum Dienstleister. Folgende zehn Regeln sind dabei hilfreich.

  1. Zunächst muss das Unternehmen die interne Organisationsstruktur auf Vordermann bringen sowie Verantwortlichkeiten und Rollen für die Informationssicherheit intern klären.

  2. Die Verantwortung für die Informationssicherheit insgesamt sowie für Koordination, Management und Qualitätskontrolle externer Dienstleister verbleibt immer im Unternehmen.

  3. Eine detaillierte Risikoanalyse für den spezifischen Cloud-Service sowie die zur Debatte stehenden Informationen und Prozesse ist unabdingbar - einschließlich der Compliance-Risiken.

  4. Wirtschaftliche Aspekte, interne und kundenorientierte Prozessverbesserungen sowie weitere potenzielle Nutzeneffekte sind den erwarteten (Rest-) Risiken gegenüberzustellen.

  5. Die Sicherheitsarchitektur muss Arbeitsteilung und Schnittstellen zwischen dem Provider und dem eigenen Unternehmen detailliert festlegen.

  6. Prozesse für Reporting, Incident-Management und Audits beim Dienstleister sollten festgeschrieben werden.

  7. Kann der Cloud-Dienstleister die angeforderte Leistung auch tatsächlich erbringen? Hier ist auch zu hinterfragen, ob er Subunternehmer einsetzt, die das Risiko eventuell erhöhen.

  8. Die Einhaltung regulatorischer Anforderungen durch den Provider muss geklärt und festgeschrieben werden, unter anderem in Bezug auf den Datenschutz.

  9. Für sicherheitsrelevante Kriterien dürfen nur solche Service-Levels vereinbart werden, die gemessen werden können.

  10. Der Kunde sollte im Vorfeld festlegen, wie die Exit-Bedingungen im Falle eines Providerwechsels aussehen. Ein "Vendor-Lock-in" kommt das Unternehmen im Ernstfall teuer zu stehen.