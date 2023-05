"Die Hyperscaler treiben die Cloud-Agenda voran, und die Unternehmen haben die Cloud inzwischen als eine hochstrategische Plattform für ihre digitale Transformation entdeckt", sagt Gartner-Analyst Sid Nag über den aktuellen Cloud-Trend. Auch die meisten europäischen Unternehmen wollen erhebliche Workloads in die Public Cloud verlagern. Damit wollen sie vor allem die vielfältigen Optionen moderner Applikationen für den Ausbau ihres Business' nutzen.

Security- und Datenschutzbedenken stehen im Weg

Doch auch nach zehn Jahren Cloud Computing beherrschen immer noch viele Themen unverändert die Diskussionen um dessen Einsatz. Dazu gehören der Datenschutz und die Datensicherheit. Laut einer Erhebung von KPMG befürchten 46 Prozent derUnternehmen, die noch keine Cloud im Einsatz haben, unberechtigte Zugriffe auf ihre sensiblen Daten. Das korrespondiert mit den Aussagen der Cloud-Anwender, dass die Compliance-Anforderungen "vielfach eine Herausforderung" seien. Was nicht weiter verwundert, denn die politischen und regulatorischen Entwicklungen der letzten Jahre haben vielfach zu einer Verunsicherung, vor allem bei der Nutzung von Cloud-Services der US-amerikanischen Hyperscaler geführt (beispielsweise Safe Harbor, EU/US Privacy Shield, EU-GDPR, Schrems II, US Cloud Act). Hinzu kommt, dass in Deutschland in den regulierten Branchen, wie Telekommunikation, Gesundheit und Finanzdienstleistungen besonders strenge Compliance-Auflagen gelten.

In der Vergangenheit entschlossen sich deshalb viele Unternehmen, ihre IT-Dienstleistungen innerhalb des eigenen Unternehmens zu erbringen. Doch mit der Auslagerung von IT-Leistungen an Dritte - so wie es beim Cloud Computing der Fall ist - entsteht das Problem, diese Leistungserbringer auf die Einhaltung der jeweils geltenden Regularien zu verpflichten. Das beginnt bereits bei der Auswahl des Providers. Diese müssen in der Regel sehr detailliert offenlegen, welche Prozesse, Verfahren sowie technische sowie organisatorische Maßnahmen (TOM) sie einsetzen, um die geforderte Sicherheit und Governance zu gewährleisten.

Rein technische betrachtet ist die Sicherheit der Cloud-Infrastruktur bei den Hyperscalern sehr gut. In der Regel greifen sie auf ausgefeilte Sicherheitsprozesse zurück. Ergänzt wird das um grundlegende Maßnahmen und Prozesse für die technische, physische und organisatorische Sicherheit, die den höchsten Branchenstandards entsprechen. Das belegen auch die vielen Zertifikate, auf die die Hyperscaler gerne verweisen. Doch diese Infrastruktursicherheit reicht bei weitem nicht aus. Sicherheit und Datenschutz müssen über den kompletten IT-Stack hinweg gedacht und gemanagt werden. Das heißt, auch wenn die Hyperscaler eine Fülle von Sicherheitsdiensten anbieten, so verlangt ein Compliance-gerechtes firmenindividuelles Cloud-Design viel Fingerspitzengefühl. Schließlich ist jede Cloud-Umgebung einzigartig und die Berücksichtigung existierender Drittlösungen erfordert immer eine hohe Integrationsexpertise.

Im Zweifelsfall Experten hinzuziehen

Zur Erfüllung aller Security- und Datenschutzauflagen gehören in der Regel drei bedeutende Aufgabenbereiche:

Einrichten eines effizienten Teamworks im Rahmen der "Shared Responsibility" zwischen Cloud-Anbieter und -Nutzer.

Definieren der internen und externen Sicherheits-Features die genutzt werden sollen.

Festlegen aller technischen und operativen Maßnahmen für den Cloud-Betrieb.

Dafür empfiehlt sich das Hinzuziehen eines erfahrenen Cloud-Security-Unternehmens. Vor allem, wenn es um große oder globale Projekte geht, sind fundiertes Fachwissen und umfassende Erfahrungen von großem Wert. Unternehmen, die sich auf solche Services spezialisiert haben, bieten unter anderem folgende Leistungen an:

Kontinuierliches, wertorientiertes Monitoring einer Hyperscaler-Cloud in nahezu Echtzeit

Überwachen aller Sicherheitsverfahren und Compliance-Auflagen

Analysieren und Managen der Konfiguration aller Cloud-Ressourcen

Einrichten einer Hardened Security Baseline , die als Ausgangspunkt für die Einrichtung und Implementierung einer maßgeschneiderten Account-Sicherheit genutzt werden kann.

Standardisierte Managed Cloud Landing Zones als Grundlage für Multi-Cloud, Identitäts- und Zugriffs-Management, Governance, Datenschutz und Protokollierung

Fazit

Der vermeintlichen Cloud-Unsicherheit stehen inzwischen viele Digitalisierungs- und Cloud-Projekte gegenüber, die gezeigt haben, dass mit Cloud Computing Innovationsvorteile realisierbar sind, was vielfach das entscheidende "Plus" im Wettbewerb ausmacht. Das bedeutet, dass die Cloud inzwischen auf Augenhöhe mit allen anderen etablierten Sourcing-Modellen ist und dass die wichtigen Cloud-Vorteile auch beim Einsatz einer Hyperscaler-Architektur realisierbar sind. Dabei gilt es aber zu beachten, dass trotz vieler technischer, organisatorischer und vertraglicher Standards, die Umsetzung in jedem Unternehmen individuell verschieden ist. Empfehlenswert ist es deshalb, ein auf Cloud-Security spezialisiertes Unternehmen hinzuzuziehen.