Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Eigene und externe Services sicher unter einen Hut bringen

Cloud-Services

Eigene und externe Services sicher unter einen Hut bringen

14. Oktober 2015, 11:35 Uhr | Michael Tschernigow, Senior Consultant bei Bridging IT
Fortsetzung des Artikels von Teil 1

Wo die Daten verarbeiten und speichern?

Für die Entscheidung, was gegebenenfalls nach draußen gegeben werden kann, ist nicht nur die Komplexität der Auslagerungsstufe von Bedeutung. Auch die Kritikalität einzelner Datenbestände spielt für die Entscheidung „in” oder „out” eine wesentliche Rolle. Für eine angemessene Entscheidung hat sich eine Klassifizierung der Datenbestände in drei Kritikalitätsstufen bewährt:

  • Besonders kritische Geschäfts- und Wettbewerbsdaten wie Vorstands-, strategische, Forschungs- & Entwicklungs-, Patent-, fertigungsnahe und Auftrags- und Kundendaten sollten im eigenen Haus verbleiben. Nicht nur das: Sie sollten innerhalb einer von der virtualisierten Corporate-Cloud abgesetzten IT-Architektur auf nicht virtualisierten und besonders abgesicherten Servern und Speichern verarbeitet respektive gespeichert werden.
  • Immer noch kritische Daten sollten innerhalb der Corporate-Cloud in virtualisierten Server- und Speicherumgebungen prozessiert und abgelegt werden. Alternativ können diese Datenbestände in externe Clouds ausgelagert werden, wenn die Service-Provider dafür hinreichende Sicherheitsvorkehrungen getroffen haben und Entgegenkommen bei der Verschlüsselung, beim Monitoring und bei der Abtretung von Administrationshoheiten zeigen. Die Hoheit für firmenspezifische Systeme mit speziellen Techniken sollte hingegen unbedingt im eigenen Haus verbleiben, schon weil dafür Provider-seitig der Anpassungsaufwand viel zu hoch und viel zu kostspielig ausfallen würde.
  • Normale, weniger kritische Daten oder solche, die ohnehin über das Internet bereitgestellt werden müssen, können nach draußen gegeben werden, um sie kostensparend innerhalb der virtualisierten Umgebungen der Cloud-Anbieter zu verarbeiten und zu speichern.

Schutz der Daten

Mit der Auslagerung von kritischen Daten sollten weitere Schutzmaßnahmen bedacht werden. So sollten solche Datenbestände innerhalb externer Clouds möglichst nicht außerhalb der EU verarbeitet, gespeichert und repliziert werden. Die EU hat hohe Sicherheitsstandards und ist auch dazu bereit, sie durchzusetzen. Zudem sollten die Serviceanbieter ihren Kunden einräumen, dass die kritischen Datenbestände auf dedizierten physischen Servern und Speichersystemen verarbeitet, ablegt und repliziert werden können. Diese Option schützt die Datenbestände zusätzlich und erleichtert dem Unternehmen die Dokumentation der externen Verarbeitungs- und Speicherprozesse für Compliance.

Das Unternehmen sollte außerdem in Zeiten möglicherweise korrumpierter Schlüssel auf die Schlüsselgewalt für alle verwendeten Chiffrierungscodes bestehen. Serviceanbieter, die die Ängste ihrer Kunden ernst nehmen, treten die Schlüsselgewalt bereitwillig ab. Zur Chiffrierung der Daten sollten ausschließlich starke Verschlüsselungsverfahren eingesetzt werden, damit das Unternehmen nicht Gefahr läuft, von Dritten ausspioniert zu werden. Serviceanbieter, die die Ängste ihrer Kunden hingegen nicht ernst nehmen, sind für das Unternehmen und die Auslagerung kritischer Daten keine akzeptablen Dienstleistungspartner.

Um die Einhaltung aller vereinbarten SLAs permanent prüfen zu können, darf auf der Seite des Unternehmens die Überwachungsstation, bereitgestellt durch den Serviceanbieter, nicht fehlen. Die Audits zu den Prozessen beim Cloud-Dienstleister sollten sowohl periodisch als auch sporadisch in Form von Ad-hoc-Reports abrufbar sein. Mittels Ampel-Reports sind SLA-Verletzungen auch für das Management gut verständlich. Allerdings sind Berichte und Reports nur ein Teil der Überwachungslösung. Der andere Teil: Auch das Unternehmen ist gefordert, regelmäßig mit dem Service-Provider die Richtigkeit der Berichte zu überprüfen und bei Abweichungen für die SLA-Erfüllung entsprechend nachzusteuern.

Zu klären ist darüber hinaus, wer letztlich das Zepter in der Hand hält und die Administratorenrechte auf allen Systemen hat: das Unternehmen oder die Service-Provider. Weil Cloud-Anbieter generell keine Audits und Reports zu den Aktivitäten ihrer Administratoren bereitstellen, sollte das Unternehmen darauf bestehen, dass es die Administrationshoheiten über die ausgelagerten Applikationen und Datenbestände behält. Diese flexible Zuordnung von Administrationshoheiten ist nur möglich, wenn sich der Serviceanbieter per Identity-Federation in die organisatorischen und technischen IAM-Architektur des Unternehmens einfügt, und nicht umgekehrt. Nur dann wird das Unternehmen den Zugriffskontrollschirm über die Zeit ganzheitlich strategisch steuern und Veränderungen daran schnell und flexibel durchführen können.

Reine Vertrauenssache

Letztlich geht es darum, dass das Unternehmen den Serviceanbietern der Wahl vertrauen kann. Die Anbieter müssen dieses Vertrauen verdienen, indem sie auf die geschäftlichen sowie Service- und Sicherheitsvorgaben des Unternehmens eingehen sowie dessen Ängste und weitergehenden Anforderungen wie ganzheitlicher Service- und Sicherheitsansatz und langfristige Partnerschaft ernst nehmen. Zusätzlich vertrauenschaffend sind aussagekräftige Referenzen und regelmäßige Auditierungen von unabhängigen Dritten und Zertifikate wie Certified-Cloud-Service durch TÜV Rheinland, HIPAA oder ISO27001.

Aufgrund der Komplexität des Vorhabens – Services und Sicherheitsvorkehrungen müssen nahtlos und in stets aktueller Form zusammenspielen – werden die meisten Unternehmen nicht an einer Unterstützung durch ein kompetentes Beratungshaus vorbeikommen. Andernfalls läuft das Unternehmen Gefahr, gegenüber den Serviceanbietern die falschen Weichen mit allen negativen Kostenkonsequenzen für die eigene Organisation zu stellen. Ein paralleler Servicebezug von vielen Cloud-Anbietern (Cloud-Brokerage) steigert noch diese Komplexität, damit ohne kompetenten Beistand die Risiken, sich mit dem Projekt zu übernehmen. Richtig konzipiert und aufgesetzt hat Multi-Service-Providing jedenfalls einen Reifegrad erreicht, der einen breiteren Einsatz rechtfertigt.

Anbieter zum Thema

kiwiko eG - IT-Expertennetzwerk
d.velop AG
AvePoint Deutschland GmbH
NFON AG
Xelion GmbH
Matchmaker+
zu Matchmaker+
  1. Eigene und externe Services sicher unter einen Hut bringen
  2. Wo die Daten verarbeiten und speichern?

Lesen Sie mehr zum Thema

connect professional Public Cloud
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu connect professional

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Weitere Artikel zu Public Cloud

Pharia AI-as-a-Service

Souveräne KI-Komplettlösung von Aleph Alpha und Schwarz Digits

Business Backup-Cloud

Geschäftsdaten georedundant sichern mit M-net

Hybrid-Cloud-Security-Studie von Gigamon

Komplexität und Sichtbarkeitslücken als Risiken

Virtualisierung

Morpheus-Software ins HPE-Portfolio integriert

Erstes Quartal 2025

Ionos mit starkem Wachstum

Matchmaker+
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
Securepoint GmbH

Securepoint GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
d.velop AG

d.velop AG
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH