"Die Situation erscheint paradox", sagt Wolfram Funk, Senior Advisor bei der Experton Group: "Da externe Cloud-Dienstleister ihre Dienste für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben." Insofern ermöglichten sie theoretisch mehr Sicherheit als Inhouse-Systeme.
Die Diskussion um die Sicherheit von Cloud-Services werde oft auf technischer Ebene geführt, doch der Schlüssel zum Erfolg liege in Risikoanalyse, Service-Level-Agreements und Provider-Management, so die Experton-Berater. Wichtiger als solide technische Maßnahmen zur Absicherung von Cloud-Services sei deshalb die Beziehung zum Dienstleister. Folgende zehn Regeln sind dabei hilfreich.
-
Zunächst muss das Unternehmen die interne Organisationsstruktur auf Vordermann bringen sowie Verantwortlichkeiten und Rollen für die Informationssicherheit intern klären.
-
Die Verantwortung für die Informationssicherheit insgesamt sowie für Koordination, Management und Qualitätskontrolle externer Dienstleister verbleibt immer im Unternehmen.
-
Eine detaillierte Risikoanalyse für den spezifischen Cloud-Service sowie die zur Debatte stehenden Informationen und Prozesse ist unabdingbar - einschließlich der Compliance-Risiken.
-
Wirtschaftliche Aspekte, interne und kundenorientierte Prozessverbesserungen sowie weitere potenzielle Nutzeneffekte sind den erwarteten (Rest-) Risiken gegenüberzustellen.
-
Die Sicherheitsarchitektur muss Arbeitsteilung und Schnittstellen zwischen dem Provider und dem eigenen Unternehmen detailliert festlegen.
-
Prozesse für Reporting, Incident-Management und Audits beim Dienstleister sollten festgeschrieben werden.
-
Kann der Cloud-Dienstleister die angeforderte Leistung auch tatsächlich erbringen? Hier ist auch zu hinterfragen, ob er Subunternehmer einsetzt, die das Risiko eventuell erhöhen.
-
Die Einhaltung regulatorischer Anforderungen durch den Provider muss geklärt und festgeschrieben werden, unter anderem in Bezug auf den Datenschutz.
-
Für sicherheitsrelevante Kriterien dürfen nur solche Service-Levels vereinbart werden, die gemessen werden können.
-
Der Kunde sollte im Vorfeld festlegen, wie die Exit-Bedingungen im Falle eines Providerwechsels aussehen. Ein "Vendor-Lock-in" kommt das Unternehmen im Ernstfall teuer zu stehen.