Sicherheit
Kein Wolkenkuckucksheim
Fortsetzung des Artikels von Teil 2
Sicherheits-Rahmenkonzept für Cloud-Computing
Natürlich sehen die Cloud-Provider für alle diese Gefährdungspotenziale entsprechende Maßnahmen vor. Sie können dabei auf die Angebote der IT-Sicherheitsfirmen zurückgreifen. So verkauft zum Beispiel Safenet das Maßnahmenbündel, aus dem oben nur einige Punkte zitiert wurden, unter dem Label „Trusted Cloud Fabric“, Trend Micro bietet mit dem „Smart Protection Network“ ein ähnliches Paket. Auch garantieren viele Provider ihren Kunden, dass ihre sensiblen Daten in einem ganz bestimmten Rechenzentrum verarbeitet werden.
„Wir verpflichten uns als Cloud-Computing-Provider, die elektronischen Daten unserer Kunden, wie Personal- und Bankdaten, in einem regionalen Rechenzentrum zu verarbeiten, so wie es die nationalen Gesetze fordern“, erklärt Jens Leuchters, Country Manager Central Europe des weltweit tätigen Cloud-Dienstleisters NTT Europe. Mehr noch: die Kunden hätten jederzeit die volle Kontrolle über den Umgang, den Ort und die Art und Weise der Speicherung der Daten, erklärt Leuchters weiter. Zudem unterstütze NTT Europe seine Kunden auch bei der korrekten Behandlung unterschiedlicher Daten.
Trotz solcher Garantien, die natürlich nicht kostenlos sind und bei extensiver Nutzung viel von den Kostenvorteilen einer Cloud-Computing-Lösung dahinschmelzen lassen dürften, bleiben die Verantwortung für die Einhaltung der gesetzlichen Bestimmungen und innerbetrieblichen Regelungen (Compliance), um Datenschutz und um das Risikomanagement beim Dateneigner, machte Marcus Rubenschuh, Vice President IT Security & Compliance und Chief Information Security (CISO) bei der Deutschen Post AG Brief auf der „Security World“ klar. Das bedeutet, dass dieser genügend Kompetenz im Haus behalten muss. Rubenschuh zeigte die Komplexität bei der Einhaltung gesetzlicher und innerbetrieblicher Regelungen am Beispiel Zertifikate auf, die deutlich weniger zertifizieren als viele annehmen: Ein ISO-270001-Zertifikat erstrecke sich häufig nur auf den RZ-Betrieb, ein PCI-Zertifikat beschränke sich nicht selten auf „unmanaged hosted services“ und Herstellerzertifikate wie von SAP bestätigten lediglich die Betriebsfähigkeit, so Rubenschuh.
Unternehmen, die Daten an einen Cloud-Dienstleister geben, haben sich darüber hinaus Gedanken zu machen über die Verfügbarkeit der Daten und Leistungen sowie an die Wahrung von Vertraulichkeit und Integrität. So darf unter anderem eine Wiederherstellung von Daten aus der vorherigen Nutzung nicht möglich sein, die Nutzerdaten dürfen auch durch privilegierte Personen wie Cloud-Administratoren nicht manipuliert werden können und die technischen und menschlichen Kommunikationspartner müssen sich geeignet identifizieren lassen.
Der CISO von Deutsche Post Brief plädiert deshalb in Sachen Cloud-Computing für ein Sicherheitsrahmenkonzept. Darunter versteht er eine Vorgehensweise, bei der die „Sicherheitseigenschaften eines Cloud-Angebots so beschrieben werden, dass der Kunde eindeutig entscheiden kann, ob das Angebot für die gestellte Aufgabe geeignet ist“.
- Kein Wolkenkuckucksheim
- Prioritäten bei der IT-Sicherheit
- Sicherheits-Rahmenkonzept für Cloud-Computing
- Hohe Verfügbarkeit durch Super-Switch
Lesen Sie mehr zum Thema
