Managed-Services
Sicherheitsrisiko Cloud-Computing?
Fortsetzung des Artikels von Teil 4
Dringende Vorarbeit seitens der Unternehmen
Das Auslagern von Daten oder die Inanspruchnahme von Services aus dem Internet war und ist mit Fallstricken versehen. Doch nicht immer kann hier der schwarze Peter dem Provider zugeschoben werden. Im Gegenteil - vieles resultiert daraus, dass die Verantwortlichen in den Unternehmen sich mit bestimmten Aufgabenstellungen, wie etwa dem gesamten IT-Risikomanagement, nicht ausreichend auseinandersetzen und diese Verpflichtungen dann ohne rechtliche oder technisch/organisatorische Prüfung einfach weiterdelegieren.
Sicherheit verlangt nach Systematik:
Solange Sicherheit und Transparenz in der Cloud nicht zu gewährleisten sind, ist es wenig ratsam, hier Services oder Dienstleistungen in Anspruch zu nehmen, die den Fortbestand des Geschäftsbetriebs gefährden könnten. Doch genau da liegt zumeist bereits ein Knackpunkt - oftmals fehlt den Verantwortlichen das notwendige Wissen für eine Entscheidung.
Folglich sollte nichts vorangetrieben werden, ohne im ersten Schritt eine Analyse der unternehmensinternen Geschäftsprozesse und Daten durchzuführen, auf deren Basis im Weiteren die Festlegung der Kritikalität möglich ist. Im zweiten Schritt hat dann eine, jeweils für den spezifischen Cloud-Service durchgeführte, Risikoanalyse zu erfolgen. Diese Untersuchung umfasst zum einen die jeweils in der Cloud verarbeiteten Informationen und notwendigen Prozesse und zusätzlich auch auf die damit verbundenen Vorgaben im Bezug auf die Compliance.
Zur systematischen Verfahrensweise hinsichtlich der Daten dient die Etablierung eines Informations-Sicherheits-Management-Systems (ISMS). Im Rahmen des ISMS werden in einem ersten Schritt Sicherheitspolitik, -ziele, -prozesse sowie -verfahren definiert und konkret geplant. Im Anschluss daran erfolgt die Umsetzung der Maßgaben sowie deren Überprüfung und Verbesserung als ständiger Regelkreislauf. Dabei müssen Fachbereiche und IT-Abteilung eng kooperieren, um eine Zusammenlegung des gesamten operativen Risiko-Managements mit dem IT-Risikomanagement zu gewährleisten.
Ein Augenmerk auf die SLAs richten:
Die Basis für eine sinnvolle Zusammenarbeit zwischen Auftraggeber und Dienstleis-ter ist grundsätzlich nur dann zu schaffen, wenn keine der beiden Parteien durch die vereinbarten Regelungen offensichtlich benachteiligt wird. Kein leichtes Unterfangen, da das Abschließen eines solch komplexen Vertragswerkes nicht zur täglichen Routine von Mittelständlern gehört. Folglich unterschreiben diese oftmals die Standardwerke der Dienstleister, ohne Berücksichtigung der unternehmensinternen Anforderungen.
Dies kann im Laufe der Zusammenarbeit zu einer Menge Ärger führen. Um diesen zu vermeiden gilt es vorab einiges zu klären: So sollte bei der Leistungsbeschreibung eine klare Formulierung hinsichtlich der Bezugsgrößen etwa bei der Verfügbarkeit obligat sein. In diesem Kontext empfiehlt es sich, das Incident-Management - also eine Beschreibung der organisatorischen und technischen Prozesse zur Beseitigung des Störfalls - ausführlich zu vereinbaren. Dazu ist es unumgänglich, den Bedarf der Fachbereiche und Geschäftsprozesse in Bezug auf Verfügbarkeit und Datensicherheit zu eruieren, aber eben auch die Vorgaben hinsichtlich der Rechtskonformität zu kennen.
- Sicherheitsrisiko Cloud-Computing?
- Mögliche Schwachstellen im Konzept
- Die Verantwortung für die Risiken trägt nicht der Provider
- Technologie mit Kehrseiten
- Dringende Vorarbeit seitens der Unternehmen
- Fazit: Cloud - was gehört nicht hinein?
Lesen Sie mehr zum Thema
