2. Security-Anforderungen definieren
Gleichwohl sollten Unternehmen nicht sofort die ganze Sicherheit einfach auf den Provider schieben, sondern sich mit ihm zunächst intensiv über das nötige Schutzniveau auseinandersetzen. Der Dienstleister muss seinem Kunden die bestehenden Risiken erläutern und ihm sagen, was er konkret dagegen unternimmt. Erst aus einer gründlichen Gefahrenanalyse lässt sich eine individuelle Lösung ableiten, die sämtliche Sicherheitsanforderungen erfüllt.
Genau wie bei klassischen ICT-Umgebungen reicht beim Cloud Computing das punktuelle Stopfen von Security-Lücken nicht aus. Andererseits braucht ein Unternehmen auch nicht zwangsläufig alle am Markt vorhandenen Sicherheitstechnologien einzusetzen, sondern kann diese von einem seriösen Provider modular ganz nach Bedarf beziehen. Spätere regelmäßige Risikobewertungen und Audits, etwa in Form von Penetrationstests, ergänzen diese ganzheitliche Sichtweise. So lassen sich neue Schwachstellen herausfinden und Maßnahmen schnell anpassen. Die genaue Auswahl und kontinuierliche Aktualisierung der Sicherheitsmaßnahmen ist gerade beim Cloud Computing sehr wichtig, da mit der hochgradigen Dezentralisierung und Verteilung von Anwendungen und Daten auch die Zahl der Angriffsvektoren und Gefahren steigt.
Sind die Sicherheitsanforderungen exakt festgelegt, lassen sie sich über Service Level Agreements durchgängig vertraglich vereinbaren, also von der Produktion im Rechenzentrum über die Netze bis zum PC oder mobilen Endgerät beim Anwender im Unternehmen. Im eigenen Netz kann der Dienstleister das Einhalten der SLAs auch in der Cloud gewährleisten. So kann der Kunde die Qualität und die Verlässlichkeit des ICT-Service objektiv beurteilen.
Die Tatsache, dass eine spezialisierte, zentrale Stelle alle Vorgänge - Implementierung, Konfiguration, Release-, Update- und Patchmanagement, Backup etc. - kontrolliert und steuert, erleichtert das Einhalten der Sicherheitsmaßnahmen außerdem. Erst dadurch können diese auf sämtlichen Ebenen wie Zahnräder wirksam ineinander greifen. Das ermöglicht letztlich sogar das sichere Einbinden mobiler Endgeräte in die Wolke.