Mehr Sicherheit aus der Cloud

Von: René Büst
Letzte Aktualisierung:
2_02089996_2089997.jpg

Aachen. Die Cloud ist oft als unsicher verschrien. Ein Trugschluss, denn Unternehmen können mit Cloud-Services ihre Sicherheit deutlich erhöhen.

Cloud Computing ist nicht mehr aufzuhalten. Die Analysten der Experton Group prognostizieren dem Cloud-Computing-Markt weltweit bis 2015 ein Wachstum von über 40 Prozent. Deshalb ist es nicht verwunderlich, dass immer mehr Anbieter und Berater auf den Zug aufspringen und das Thema in den Führungsetagen heiß diskutiert wird. Allerdings scheinen mittelständische Unternehmen in Deutschland für Cloud Computing noch nicht besonders empfänglich zu sein. Die Marktforscher von Kelton Research begründen diese Zurückhaltung damit, dass rund 63 Prozent der IT-Entscheider immer noch Sicherheitsbedenken gegenüber der Cloud hegen.

Dabei lässt der deutsche Mittelstand jedoch außer Acht, dass auf Grundlage einer gut geplanten Cloud-Computing-Strategie die Sicherheit eines mittelständischen Unternehmens sogar deutlich erhöht werden kann. Die Betriebe haben nämlich die Möglichkeit, kostengünstig, nach Bedarf und abgerechnet nach dem Verbrauch moderne Sicherheitstechnologien- und verfahren einzusetzen, ohne die dafür benötigte Infrastruktur vorhalten zu müssen.

Ein Beispiel dafür sind Authentifizierungssysteme. Damit wird sichergestellt, dass nur befugte Personen Zugriff auf die Systeme eines Unternehmens erhalten. Ein Zugriffsversuch durch nicht autorisierte Personen wird darüber hinaus erkannt und protokolliert; gegebenenfalls werden Gegenmaßnahmen ergriffen.

Eine in Eigenregie betriebene Infrastruktur, die solche Leistungen bietet, ist sehr teuer und muss zudem aufwendig administriert werden. Für kleinere Firmen wären die Investitionen viel zu hoch. Hinzu kommt das Know-how für die Konfiguration sowie Wartung des Systems. Ein darauf spezialisierter Cloud-Serviceanbieter, der nach Nutzung abrechnet, ist für diese Zielgruppe somit von Vorteil.

Positiv auf die Security des Unternehmens wirkt sich ferner aus, dass der Cloud-Computing-Anbieter in der Regel auf dem aktuellsten Stand der Sicherheitstechnik ist und deshalb ein Höchstmaß an Schutz gewährleistet. Neben der kryptographischen Sicherheit werden die Daten auch physikalisch beziehungsweise räumlich geschützt, indem beispielsweise die Datenspeicherung in mehreren, voneinander getrennten Rechenzentren stattfindet.

Hinzu kommen Faktoren wie beispielsweise die Compliance, deren Anforderungen mittelständische Betriebe oft nur mit Mühe einhalten können. Durch die Nutzung von Cloud-Services haben Unternehmen die Option, die meist unbequemen rechtlichen Vorschriften, zu erfüllen, weil sie von den IT-Sicherheitsprozessen des Cloud-Computing-Anbieters abgedeckt werden.

Allerdings kann die gesamte Verantwortung nicht an den Cloud-Provider abgetreten werden. Jedes Unternehmen steht in der Pflicht, seine Hausaufgaben zu machen. Aber worauf muss es achten, wenn es um die eigene Sicherheit in der Cloud geht? Was sind die wesentlichen Anhaltspunkte zur Prüfung und Auswahl eines Cloud-Anbieters?

In erster Linie geht es um die Existenz geeigneter Sicherheitsmaßnahmen, die dem Schutz der Cloud selbst und somit auch dem der Kundendaten dienen. Dazu gehören Themen wie die Authentifikation, Identity-Management sowie die Verschlüsselung und Integrität der gespeicherten und übertragenen Daten. Weitere Punkte sind der Datenschutz sowie die Vertragsgestaltung zwischen dem Kunden und Provider, Anforderungen und Einhaltungen der Compliance sowie die grundsätzliche Struktur des Anbieters. Es existieren also viele technische und organisatorische Bereiche, die berücksichtigt werden müssen.

Zu den technischen Vorkehrungen gehören unter anderem die Datenverschlüsselungen innerhalb der Datenbanken, im Storage und während der gesamten Kommunikation (End-to-End Verschlüsselung). Hinzu kommen der Einsatz einer Zwei-Faktor-Authentifizierung beispielsweise mit Hilfe von Smartcards oder Zertifikaten sowie die Nutzung digitaler Signaturen, um auf dieser Basis sämtliche Daten zu schützen.

Neben einem Rights-Mangement-System, das den Zugriff auf die gespeicherten Daten und Dokumente regelt, sollte ebenfalls ein Identity-Management vorhanden sein, mit dem Zugriffe auf die Daten geschützt und protokolliert werden. Wichtig sind darüber hinaus Service Level Agreements (SLA), womit die Dienstgüte der Cloud-Services definiert wird und die anhand von Kennzahlen gemessen werden.

Doch wie sollen Unternehmen ein Projekt Sicherheit aus der Cloud überhaupt angehen? Zunächst muss eine aussagekräftige Cloud-Computing-Strategie durch das Management erarbeitet werden. Aus dieser sollte klar hervorgehen, welche Unternehmensbereiche und -prozesse in die Cloud verlagert werden sollen und welche nicht. Darüber hinaus gilt es, das vorhandene Risiko-Management mit dem Thema Cloud Computing zu verknüpfen, um damit mögliche Risiken bei der Nutzung von Cloud-Services zu erkennen und präventive Maßnahmen zu ergreifen.

Ein besonders wichtiger Punkt sind die Verantwortlichkeiten. In die Cloud-Projektplanung müssen auch Sicherheits- und Datenschutzbeauftragte, Rechtsabteilungen, Betriebsräte und Fachabteilungen einbezogen werden. Die verschiedenen Planungsschritte auf dem Weg in die Cloud sowie die Verträge mit dem Anbieter, die Migration und der spätere Betrieb müssen gut und detailliert durchdacht und Verantwortlichkeiten und Zuständigkeiten klar zugeordnet werden.

Hier empfehlt es sich einen Verantwortlichen „Cloud” zu benennen, der für die Migration und den endgültigen Betrieb zuständig ist und der eng mit dem Sicherheitsbeauftragten des Unternehmens zusammenarbeitet.

Am 22. November 2011 findet in Frankfurt am Main im DE-CIX Convention Center die „SecTXL” statt, die sich unter dem Motto „Juristische und technische Sicherheit für die Cloud” genau mit dem oben beschriebenen Thema befasst. Neben Vorträgen von Rechtsanwälten und Experten aus den Bereichen des Datenschutzes und der Datensicherheit werden auch technische Probleme und deren Lösungen vorgestellt. Informationen zu der Veranstaltung finden Sie unter http://frankfurt-11.sectxl.com/

© IDG / In Zusammenarbeit mit computerwoche.de
Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert