Sicherheit
Cloud-Dienstleister als hohes Datensicherheitsrisiko
Fortsetzung des Artikels von Teil 3
Expertenkommentar Blue Elephant: Unternehmen haften für Governance, Risiko-Management, Compliance
Die Ausspähungen der Geheimdienste, allen voran der NSA, belasten das Cloud-Computing. Es fällt schwer, gerade US-Cloud-Providern, aber auch britischen Cloud-Anbietern, zu glauben, dass sie
unter Offenbarungsdruck durch die Geheimdienste sorgsam mit den Daten der Unternehmenskunden umgehen. Zumal US-Cloud-Anbieter, nicht nur in den USA, sondern auch in anderen Ländern, aufgrund des Patriot-Act keine Wahl haben. Sie müssen schon bei bloßem Verdacht auf eine Straftat die Daten ihrer Kunden als Klartext offenlegen. Damit können Unternehmenskunden auch den Verschlüsselungen, die US-Provider einsetzen, nicht vertrauen.
Den Unternehmen, die dennoch die Dienste externer Clouds – öffentlicher, virtueller privater und hybrider Clouds – in Anspruch nehmen wollen, um so beispielsweise Kosten einzusparen, kommen somit nicht umhin, sich die Anbieter und ihr Herkunftsland genau anzuschauen. Außerdem sind die Unternehmen mit externen Cloud-Ambitionen gefordert, ihre Datenbestände genau zu sichten und zu hinterfragen, wie kritisch sie für das Geschäft sind. Sind die Daten weniger schutzbedürftig, können sie getrost in externe Clouds ausgelagert werden, unabhängig vom Herkunftsland des Anbieters, weil nichts geheim gehalten werden muss. Bei allen anderen Daten ist höchste Vorsicht geboten. In diesem Fall sollten nur vertrauenswürdige und von Geheimdiensten nicht herangezogene Dienstleister ausgewählt werden. Zum Schutz sensibler Daten sollte außerdem darauf geachtet werden, dass die Daten innerhalb des EU-Rechtsraums verarbeitet werden. Denn nicht der Cloud-Dienstleister, sondern das Unternehmen haftet dafür, dass die Vorschriften und Regeln bezüglich GRC (Governance – Risiko-Management – Compliance) eingehalten werden.
Für die Auslagerung von Daten in externe Clouds ist aber nicht nur die Vertrauenswürdigkeit des Dienstleisters bestimmend. Er muss darüber hinaus Anforderungen erfüllen wie eine schnelle Provisionierung, eine hinreichende Integration seiner IT-Management-Dienste sowie eine transparente Informationsgabe. Die schnelle Provisionierung und Dekommissionierung von Cloud-Diensten mit den dazugehörigen Komponenten ist erforderlich, weil der Lebenszyklus der Dienste, also ihre Relevanz für die Unternehmenskunden, immer kürzer ausfällt, sie außerdem auf eine wirtschaftliche Dienstebereitstellung dringen. Beides, wiederum, ruft förmlich nach einer höheren Integrationstiefe des IT-Managements, sowohl auf der Seite der Cloud-Provider als auch im Zusammenspiel mit der Unternehmens-IT. Ohne die deutlich höhere Informationstransparenz der Cloud-Anbieter kann kein Unternehmen seinen GRC-Anforderungen nachweislich nachkommen. In diesem Kontext wird ein semantisches IT-Management immer mehr an Bedeutung gewinnen, damit beide Seiten immer vom selben sprechen und die Informationen gleich bewerten.
- Cloud-Dienstleister als hohes Datensicherheitsrisiko
- Nebulöse Wolkengebilde
- Expertenkommentar Materna: Aggressive Industriespionage
- Expertenkommentar Blue Elephant: Unternehmen haften für Governance, Risiko-Management, Compliance
- Expertenkommentar Evidian: Identity-Federation schirmt Daten ab
- Expertenkommentar KPMG: Schützenswerte Daten sollten den EU-Rechtsraum keinesfalls verlassen
Lesen Sie mehr zum Thema
