Sicherheit und Kontrolle in der Cloud? Das muss sich nicht widersprechen, wenn der Anwender bei der Auswahl seines Cloud-Anbieters auf einige Kriterien achtet. Was zeichnet einen vertrauenswürdigen Anbieter aus?
Zunächst gilt es, sich allgemein über das Unternehmen und seine Reputation zu informieren. Welche Referenzen hat er? Kann er Zertifizierungen vorweisen? In einem zweiten Schritt sollten dann sicherheitsrelevante Aspekte unter die Lupe genommen werden.
1. Datenspeicherung in der EU
Der Cloud-Anbieter muss preisgeben, an welchen Orten er Daten und Anwendungen speichert und verarbeitet. Es sollten ausschließlich Standorte in der EU, besser noch in Deutschland, akzeptiert werden. Wenn weitere Subunternehmer beteiligt sind, müssen diese benannt werden.
2. Sicherheitsarchitektur
Der Provider sollte die Konzeption seiner Sicherheitsarchitektur darlegen können. Dies schließt einzelne Systemkomponenten ebenso wie infrastrukturelle und technische Aspekte ein. Insbesondere sollte dabei klar werden, wie bei mandantenfähigen Systemen - so genannten Multi-Tenant-Systemen - eine verlässliche Trennung der Kunden gewährleistet wird. Angaben zur Sicherheitsarchitektur umfassen zum Beispiel Informationen zum Rechenzentrum, zur Netzsicherheit und zur Verschlüsselung. Stichwort Rechenzentrum:
Sind alle wichtigen Versorgungssysteme redundant ausgelegt? Wie wird der Zutritt überwacht und protokolliert? Darüber hinaus sollte die Netzsicherheit ein Thema sein: Welche Sicherheitsmaßnahmen werden gegen netzbasierende Angriffe getroffen? Ein weiterer wichtiger Aspekt ist die Datensicherung: Wie oft finden Backups statt? Werden die Daten gesetzeskonform archiviert? Nicht zu vergessen ist die Verschlüsselung: Findet die Kommunikation zwischen Cloud-Anbieter und -Nutzer verschlüsselt statt? Die Fragen rund um die Systemarchitektur sind vielschichtig, jedoch entscheidend, wenn es die Sicherheit geht.
Ratgeber Virtualisierung und Cloud Computing
Dieser Ratgeber bietet Ihnen die notwendigen Grundlagen und Entscheidungshilfen, um die richtige Virtualisierungs- und/oder Cloud-Lösung zu finden. Ausführliche Workshops helfen bei der Umsetzung in die Praxis. Weitere Informationen zum "Ratgeber Virtualisierung und Cloud Computing".
(Teaserbild: AA+W, Fotolia.de)
Weitere Aspekte & Cloud-Gütesiegel
3. Rechte-Management
Der Anbieter sollte erklären können, wie er Nutzer sicher identifiziert. Dazu gehört etwa eine Erläuterung seines ID-Managements und wie er damit sicherstellt, dass der "normale" Anwender etwa im Unterschied zum Administrator nur Zugriff auf Daten hat, die für ihn vorgesehen sind.
4. Datenschutz
Speichert oder verarbeitet der Cloud-Anbieter personenbezogene Angaben, dann ist ein Datenschutz nach deutschem Recht zu gewährleisten. Dar- über hinaus sollte der Anwender prüfen, inwieweit Datenschutzrichtlinien und -gesetze, denen er selber unter- liegt, vom Cloud-Anbieter eingehalten werden können (Compliance).
5. Datenimport und -export
Grundsätzlich sollte klargestellt werden, dass die Daten im Besitz des Kunden bleiben. Der Nutzer muss deshalb auch die Möglichkeit haben, seine Daten jederzeit wieder exportieren zu können. Das ist nur möglich, wenn relevante Daten in einem anbieterunabhängigen Format gespeichert oder aber in ein solches umgewandelt werden können. Nur so hat der Nutzer die Möglichkeit, zu einem anderen Anbieter zu wechseln oder im Falle einer Insolvenz an seine Daten zu gelangen.
Das Cloud-Gütesiegel
Wenn ein Cloud-Anbieter die oben genannten Kriterien erfüllt, ist in der Regel eine deutlich höhere Sicherheit für den Anwender gegeben als bei Nutzung lokaler Anwendungen. Um die Überprüfung solcher sicherheitsrelevanten Aspekte zu vereinfachen, hat der Branchenverband EuroCloud Deutschland_eco e.V. Kriterien für ein Cloud-Gütesiegel entwickelt.