computerwoche.de

Compliance & Recht

Enterprise Rights Management

Mit sicheren Schritten in die Cloud

08.08.2011
Von Dror-John Röcher und Jan-Frank Müller

Sicherheitsanforderungen für Provider

Kunden sollten vom Provider ein etabliertes Sicherheits-Management, eine angepasste Sicherheitsarchitektur, ein funktionierendes Notfall-Management und Angaben zu seiner Mitarbeitersicherheit erwarten können. Auf der anderen Seite sind Provider gut beraten, diese Informationen offensiv zu publizieren, um sich gegenüber dem Wettbewerb positiv zu differenzieren. Die Realität sieht jedoch häufig anders aus: Viele Provider glänzen in diesen Bereichen durch Intransparenz und mangelndes Verständnis für die Sicherheitsbelange ihrer Kunden. Die AGBs der Provider enthalten keine expliziten Service Level Agreements (SLAs) und keine Aussagen zur Sicherheit, auf die sich Kunden berufen oder auf denen sie mit der eigenen Security-Strategie aufsetzen können. Im Gegenteil, oft wird in den AGBs ausdrücklich darauf hingewiesen, dass der Dienst keine garantierte Verfügbarkeit bietet. Aussagen zur Verfügbarkeit oder der Security der Cloud-Dienste und ihrer zugrundeliegenden Infrastruktur finden sich nur in Produkt-Datenblättern und Whitepapers, die aber nicht Vertragsbestandteil sind. In diesem Punkt unterscheidet sich Cloud-Computing signifikant vom klassischen Outsourcing, bei dem Auftraggeber und Auftragnehmer im Due-Diligence-Prozess Parameter mit bindendem Charakter für SLAs und Security aushandeln können.

Kritische Stimmen zum Cloud Computing argumentieren oft mit einem zwangsläufigen Kontrollverlust bei der Verlagerung von Informationen oder Diensten in eine fremdbetriebene Cloud. Diesem Argument liegt die Fehlannahme zugrunde, dass Unternehmen heutzutage überhaupt noch die Kontrolle über ihre IT haben. Tatsächlich zeigt die Erfahrung, dass kaum ein Unternehmern weiß, welche Applikationen es tatsächlich nutzt, wie kritisch diese sind oder welche Informationen wo verarbeitet und gespeichert sind. Die Dispersion der Daten in den Unternehmen, die Webifizierung der internen Applikations-Landschaft und die ubiquitäre Verfügbarkeit großer und günstiger Speicher haben über die Jahre zu einem schleichenden Kontrollverlust über die Informationen und Applikationslandschaft geführt. Dazu trägt auch das wieder in Mode gekommene Bring your own Device bei. Das Modell fordert explizit, dass Mitarbeiter auf ihrer privaten, eventuell subventionierten, Hardware im Unternehmen arbeiten können. Vor diesem Hintergrund kann der Schritt in die Cloud zum Anlass genommen werden, die Kontrolle zumindest in Teilen zurückzugewinnen.