Best-Practices
Leitfaden für Cloud-Security
Outsourcing liegt weiter im Trend. Ein entscheidendes Kriterium bei der Auswahl eines bestimmten Outsourcing-Modells und Cloud-Providers betrifft die Sicherheit. Red Hat hat dazu einen Leitfaden zusammengestellt, der in sechs Punkten aufzeigt, worauf auslagernde Unternehmen achten müssen, damit ihre Daten bei einem Provider sicher untergebracht und vor Missbrauch geschützt sind.
IT-Dienstleistungen werden in immer stärkerem Maße aus der "Wolke" bezogen. Dabei haben sich in letzter Zeit zwei Tendenzen herauskristallisiert: zum einen setzen Unternehmen immer weniger auf ein komplettes Outsourcing, sondern vielmehr auf ein selektives Outsourcing beziehungsweise Outtasking einzelner IT-Bereiche. Zum anderen verfolgen Unternehmen zunehmend eine Multi-Sourcing-Strategie, das heißt, sie entscheiden sich nicht nur für einen einzigen Provider, sondern lagern einzelne IT-Segmente an unterschiedliche externe Partner aus, die sich auf einen bestimmten Service spezialisiert haben.
Für diese Unternehmen kommen nur Cloud-Provider in Frage, die dem Kunden keinen "Vendor-Lock-in" aufzwingen und auf offene, standardbasierte IT-Lösungen setzen. Dadurch wird es auch möglich, im Rahmen eines Open-Hybrid-Cloud-Modelles die IT-Infrastruktur zum Teil im eigenen Rechenzentrum und zum Teil in der Cloud zu betreiben. Aber auch hier stellt sich natürlich die Frage, ob die Sicherheit der bereitgestellten Services gewährleistet ist. Im Hinblick darauf sollten auslagernde Unternehmen nach Red Hat generell die folgenden Best-Practices beachten:
1. Bestandsaufnahme der eigenen IT-Infrastruktur
Vor jedem Outsourcing ist genau zu überprüfen, welche Bereiche der IT an einen externen Dienstleister übergeben werden können. Nur auf Basis einer eingehenden Ist-Analyse können Unternehmen entscheiden, welche ihrer Applikationen für eine Migration in die Cloud in Frage kommen und welche weiterhin im eigenen Rechenzentrum betrieben werden. In der Regel verbleibt zumindest ein Teil der Applikationen in der internen Infrastruktur, zum einen, weil die Applikationen nicht für den Cloud-Einsatz geeignet sind, und zum anderen, weil aus Compliance- oder datenschutzrechtlichen Gründen ein Einsatz in der Cloud nicht möglich ist. Bei der Bestandsaufnahme sollten auch die eigenen Sicherheitsmaßnahmen genau überprüft werden. Der hier erreichte Status quo muss schon einmal die erste Messlatte für die Security-Maßnahmen des externen Providers sein.
2. Überprüfung der Zertifizierungen des Providers
Auslagernde Unternehmen müssen vom Provider den Nachweis relevanter Zertifizierungen einfordern. Das betrifft zum Beispiel die Einhaltung des Sicherheitsstandards ISO 27001, der Anforderungen an die Bereitstellung und den Betrieb eines Informationssicherheits-Managementsystems festlegt, und ISO 27002, in dem sich Empfehlungen für Kontrollmechanismen für die Informationssicherheit finden.
Auch SAS70 (Statement on Auditing Standard 70: Service Organizations) beziehungsweise SSAE16 (Statement on Standards for Attestation Engagements 16) vom American Institute of Certified Public Accountants (AICPA) sind hier zu nennen. Sie haben sich im internationalen Umfeld als Nachweis dafür bewährt, dass Outsourcing-Dienstleister alle Anforderungen hinsichtlich Datensicherheit und Risikomanagement sowie im Hinblick auf die internen Kontrollsysteme erfüllen. Eine vergleichbare Richtlinie gibt es in Deutschland mit dem Standard IDW PS 951, der vom Institut der Wirtschaftsprüfer veröffentlicht wurde.
3. Kontrolle der IT-Security-Lösungen des Providers
Wer die IT im eigenen Haus betreibt, kann in der Regel den Bereich IT-Security sehr gut beurteilen: zum Beispiel im Hinblick auf die konkret implementierten Sicherheitslösungen, regelmäßige Updates oder die Schulungsmaßnahmen für Administratoren. Das alles entfällt zunächst, wenn ein Cloud-Provider die Security-Aufgaben übernimmt. Der größte Fehler, den ein Unternehmen bei der Auslagerung von IT-Bereichen machen kann: Man vertraut dem Cloud-Provider blind und geht davon aus, dass hohe Sicherheit gewährleistet ist. Ein richtiger Ansatz ist hingegen die Ausarbeitung eines Kriterienkatalogs, auf dessen Basis die IT-Security des Providers beurteilt wird, und zwar im Hinblick auf die konkreten Sicherheitsstrategien, -konzepte und -lösungen. Eine umfassende Zusammenstellung von Sicherheitsaspekten, die ein Unternehmen bei der Auswahl eines Providers unbedingt beachten sollte, findet sich beispielsweise im vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter". Hier wird unter anderem das Thema Sicherheitsarchitektur von der Rechenzentrumssicherheit über Server-, Netz- und Datensicherheit bis zur Verschlüsselung und zum Schlüsselmanagement detailliert beleuchtet. Auch auf Aspekte wie ID- und Rechtemanagement, Notfallmanagement sowie Sicherheitsprüfungen und -nachweise wird eingegangen.
Wichtig ist im Hinblick auf das Thema IT-Security auch, dass Lösungen in diesem Bereich nicht statischen Charakter haben, sondern kontinuierlich und dynamisch weiterentwickelt werden müssen. Die Grundlage für zuverlässige Sicherheitsvorkehrungen bei Providern ist deshalb auch eine regelmäßige Überprüfung einmal festgelegter Prozesse und Maßnahmen sowie die permanente Aktualisierung im Hinblick auf sich ändernde Rahmenbedingungen oder A12ufgabenstellungen.
Wer die IT im eigenen Haus betreibt, kann in der Regel den Bereich IT-Security sehr gut beurteilen: zum Beispiel im Hinblick auf die konkret implementierten Sicherheitslösungen, regelmäßige Updates oder die Schulungsmaßnahmen für Administratoren. Das alles entfällt zunächst, wenn ein Cloud-Provider die Security-Aufgaben übernimmt. Der größte Fehler, den ein Unternehmen bei der Auslagerung von IT-Bereichen machen kann: Man vertraut dem Cloud-Provider blind und geht davon aus, dass hohe Sicherheit gewährleistet ist. Ein richtiger Ansatz ist hingegen die Ausarbeitung eines Kriterienkatalogs, auf dessen Basis die IT-Security des Providers beurteilt wird, und zwar im Hinblick auf die konkreten Sicherheitsstrategien, -konzepte und -lösungen. Eine umfassende Zusammenstellung von Sicherheitsaspekten, die ein Unternehmen bei der Auswahl eines Providers unbedingt beachten sollte, findet sich beispielsweise im vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter". Hier wird unter anderem das Thema Sicherheitsarchitektur von der Rechenzentrumssicherheit über Server-, Netz- und Datensicherheit bis zur Verschlüsselung und zum Schlüsselmanagement detailliert beleuchtet. Auch auf Aspekte wie ID- und Rechtemanagement, Notfallmanagement sowie Sicherheitsprüfungen und -nachweise wird eingegangen.
Wichtig ist im Hinblick auf das Thema IT-Security auch, dass Lösungen in diesem Bereich nicht statischen Charakter haben, sondern kontinuierlich und dynamisch weiterentwickelt werden müssen. Die Grundlage für zuverlässige Sicherheitsvorkehrungen bei Providern ist deshalb auch eine regelmäßige Überprüfung einmal festgelegter Prozesse und Maßnahmen sowie die permanente Aktualisierung im Hinblick auf sich ändernde Rahmenbedingungen oder Aufgabenstellungen.
- Leitfaden für Cloud-Security
- Weitere Best-Practices
Lesen Sie mehr zum Thema
