Datensicherheit
In vier Schritten sicher in die Cloud
Fortsetzung des Artikels von Teil 1
Wahl des Cloud Providers
Ist die Klassifizierung der Daten erfolgt, gilt es einen geeigneten Cloud Provider zu finden. Hier sind drei maßgebliche Aspekte zu beachten: Wirtschaftlichkeit, Betriebssicherheit und klassische Security und der rechtliche Rahmen. Die Auswahl an Cloud Providern ist groß, ebenso die unterschiedlichen Cloud-Services. Große Player wie Amazon oder Microsoft bieten heute eine erprobte Infrastruktur, die weltweit, quasi an jedem beliebigen Ort, genutzt werden kann. Cloud-Strukturen und Services dieser Größenordnung können als besonders betriebssicher eingestuft werden, die vielen Rechenzentren dieser Anbieter garantieren hervorragendes Failover und Business Continuity. Unter dem Aspekt der Security sind bei den großen Anbietern gewisse Grenzen gesetzt. Zwar haben diese eine gute Security-Grundstruktur, doch ist es kaum möglich, die Security individuell an die speziellen Bedürfnisse des Unternehmens anzupassen. Entweder man fügt sich in das Security-Gerüst des Cloud-Providers ein, oder man muss nach einer Alternative suchen. Hier kommen die lokalen/regionalen Anbieter ins Spiel, die in Punkto Leistung und Zuverlässigkeit ebenfalls gute Ergebnisse liefern können. Nebenbei garantieren solche Provider mit entsprechenden Zertifizierungen, wie beispielsweise ISI 27001, dass die Datenhaltung den lokalen Vorschriften entspricht. Hier trifft man sich auf Augenhöhe und die Strukturen dieser Provider sind weit weniger starr. SLAs (Service Level Agreements) hinsichtlich der Security lassen sich individuell besprechen und vereinbaren. In vielen Fällen führt dies zu einer besseren Security-Situation, da diese dem Unternehmen und nicht dem Cloud-Provider angepasst ist.
Security der Daten in der Cloud
Die Security ist ein elementarer Bestandteil einer Cloud-Strategie. Hier leisten erfahrene Dienstleister wertvolle Hilfestellung. Durch ein Assessment der Erstellung eines individuellen Anforderungskatalogs kann die Security für die Cloud ausgebaut oder durch zusätzliche Security-Systeme ergänzt werden. Zum individuellen Cloud-Security-Anforderungskatalog gehören in jedem Fall die Berücksichtigung von Vorschriften und der Compliance, die Verfügbarkeit von Anwendungen und Daten unter dem Cloud-Security-Aspekt und schlussendlich die Cloud-Security-Services, welche auditierbar und transparent gestaltet sein müssen.
Auf der praktischen Seite bedeutet dies, dass neben den klassischen Firewall-, Endpoint- und Gateway-Lösungen in der Cloud Security auch die Authentifizierung und Verschlüsselung von Daten eine zentrale Rolle spielen. Jeglicher Datenverkehr über die Cloud sollte verschlüsselt erfolgen. Eine hochwertige Verschlüsselung ist der beste Garant dafür, dass kein Fremder die Daten lesen oder nutzen kann. Die Verschlüsselung muss entsprechend der individuellen Sensibilität der Daten für alle Cloud-Anwendungen definiert sein. Dabei muss die benötigte Verschlüsselungstechnologie auch vom Cloud-Provider unterstützt werden.
Fortlaufende Kontrolle und Notfallszenarien
Die Auslagerung eines Teils des Rechenzentrums in die Cloud erfordert eine kontinuierliche Kontrolle. Security-Vorfälle und dadurch bedingte Ausfallzeiten müssen auf jeden Fall vermieden werden. Hier helfen im ersten Schritt spezielle Monitoring-Systeme, welche die Security im Datenverkehr und in der Cloud kontinuierlich prüfen. Nun ist es gerade für den Mittelstand schwierig, mit begrenzten Ressourcen und begrenztem Personal eine Stelle aufzubauen, welche hauptsächlich für das Monitoring verantwortlich ist. Auf Security und Cloud spezialisierte Systemhäuser können diese Aufgabe wesentlich effizienter übernehmen, da spezialisierte Teams das Monitoring für mehrere Kunden übernehmen. Diese externen Dienstleister sind nicht nur aus wirtschaftlicher Sicht effizient, sie sind zugleich auch Security-Experten, die im Fall eines Angriffs sofort und zielorientiert reagieren können. Umgehend können zusätzliche Schutzmaßnahmen getroffen werden, um den Angriff zu vereiteln oder eine Verbreitung im System zu verhindern. Es werden zugleich Notfallpläne in Gang gesetzt, die sowohl die Einbindung der IT und Geschäftsführung des Unternehmens betreffen als auch die Vorbereitung für Meldepflichten falls nötig. Die präventiven Schutzmechanismen und die geregelten Abläufe im Falle eines Datenmissbrauchs oder Angriffs müssen selbstverständlich in Einklang mit der neuen EU-Datenschutz-Grundverordnung (DSGVO bzw. GDPR) in Einklang stehen. Auch hier sollte ein erfahrener Dienstleister wertvolle Hilfe leisten. Denn nach einer genügend langen Übergangsfrist von zwei Jahren ist damit zu rechnen, dass der Gesetzgeber gerade in Bezug auf die Nutzung der Cloud keine Nachlässigkeiten akzeptiert. Guter Rat muss nicht teuer sein, kann aber hohe Strafen vermeiden.
Corinna Tripp ist Marketing Manager bei MTI Technology
- In vier Schritten sicher in die Cloud
- Wahl des Cloud Providers
Lesen Sie mehr zum Thema
