Sicheres Cloud Computing ist machbar

LANline: Welche Schritte sollte ein Unternehmen einleiten, wenn es in die Planung zur Nutzung von Cloud-Services einsteigt?

 

Rudrich: Das hängt davon ab, welche Art von Cloud-Services das Unternehmen benötigt. Es gibt unterschiedliche Cloud-Dienste wie Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS) und Security as a Service (SaaS), die verschiedene Anwendungsbereiche abdecken. Unternehmen sollten bei der Auswahl von Cloud-Services die gleichen Fragen stellen, die sie sich auch bei Einführung einer neuen Lösung im eigenen Rechenzentrum stellen. Wichtig ist als erstes, ein Pflichtenheft zu erstellen und den angeboten Leistungsumfang des Cloud-Service-Providers damit zu überprüfen. Die Konditionen, die Funktionalität und nicht zuletzt die Sicherheit sollten den eigenen Vorstellungen entsprechen.

 

Externes Backup

 

LANline: Wie sieht dies bei einer externen Speicherung von Daten aus?

 

Rudrich: Storage in der Cloud kann sinnvoll sein, da zusätzliche Backups dann nicht im eigenen Unternehmen, sondern an einem anderen Ort gespeichert werden. Falls es zu einem Brand in den Geschäftsräumen kommt, ist die Sicherung immer noch vorhanden. Man sollte jedoch vorher klären, in welchem Land die Daten gesichert sind, ob sie verschlüsselt sind, und wer darauf zugreifen kann. Wichtig ist es auch zu wissen, ob das Speichern von Daten in der Cloud mit dem eigenen Geschäftsmodell vereinbar ist.

 

LANline: Ist eine juristische Hilfestellung nötig?

 

Rudrich: Das ist in den meisten Fällen sehr sinnvoll. Schließlich vertraut man seine Business-Daten dem Cloud-Anbieter an. Die Rechtsabteilung möchte schon wissen, ob das legal ist und kein Risiko für das Geschäft darstellt.

 

LANline: Gibt es bereits so etwas wie Best Practices für diesen Einstieg?

 

Rudrich: Es existieren mehrere Dokumente zu Best Practices, die jedoch hauptsächlich die Zertifizierung von Cloud-Unternehmen beschreiben. Es gibt zwei Hauptzertifizierungen: Die Audit-Richtlinie SAS 70, ein Accounting-Standard, und die ISO-27001-Norm, die die Anforderungen für die IT-Sicherheit vorschreibt. Diese Norm garantiert, dass die Sicherheit des Cloud-Anbieters überprüft wurde und dass er Best Practices einsetzt, beispielsweise beim Umgang mit Kundendaten.

 

LANline: Gibt es branchenabhängige Spezifika?

 

Rudrich: Davon kann noch keine Rede sein, denn Unternehmen nutzen unterschiedliche Anwendungen für verschiedene Bereiche. Cloud Computing ist jedoch oft ein gute Ergänzung, da es in einigen Bereich große Vorteile bringt.

 

LANline: Wer sollte in den Projekt-Teams vertreten sein?

 

Rudrich: Die gleichen IT-Fachleute, die bei jedem IT-Projekt vertreten sein sollten. Zusätzlich sollten die Verantwortlichen die Rechtsabteilung mit ins Boot holen, damit cloud-spezifische Besonderheiten wie etwa Datenschutzbestimmungen berücksichtigt werden.

 

LANline: Welche Bedingungen sollte aus Security-Sicht die eigene IT-Landschaft bei einem Anschluss an die Cloud erfüllen?

 

Rudrich: Es muss sichergestellt sein, dass die Daten verschlüsselt übertragen und gespeichert werden, und man sollte darauf achten, stets die Kontrolle über seine Daten zu behalten. Dazu gehört auch, zu wissen, wo die Daten gespeichert sind. Personenbezogene Daten unterliegen beispielsweise der deutschen Datenschutzgesetzgebung und dürfen nicht in Drittländern wie den USA oder China abgelegt sein.

 

LANline: Woran erkennt man gute Lösungen und Produkte?

 

Rudrich: Cloud-Dienste eignen sich sehr gut für kurzfristige Projekte von sechs bis zwölf Monaten Dauer, weil man nur für das bezahlt, was man auch wirklich nutzt. Dazu gehören beispielsweise Security-as-a-Service-Dienste, die den Rundumschutz der Unternehmensdaten garantieren, ohne dass sich das Unternehmen mit der Sicherheit der IT-Infrastruktur auseinandersetzen muss. Der Kunde nimmt dabei standardisierte Services in Anspruch. Service Level Agreements (SLAs) legen dabei vertraglich fest, was für Leistungen ein Cloud-Unternehmen zum Pauschalpreis bietet. Dabei gibt es oft eine Unterteilung in verschiedene Service-Levels – je nach Bedarf.

 

LANline: Welche Strukturen schließen die Nutzung von Cloud-Diensten aus?

 

Die Rechte der Arbeitnehmer

 

Rudrich: In Deutschland sind das vor allem die Rechte der Arbeitnehmer. Das Speichern persönlicher Daten in der Cloud unterliegt in Deutschland strengen Datenschutzbestimmungen. Gerade kleinere und mittlere Unternehmen können im Regelfall keine gesonderten Verträge mit den großen Cloud-Anbietern treffen, um die Durchsetzung dieser Bestimmungen zu garantieren.

 

LANline: Und welche Strukturen eignen sich besonders gut?

 

Rudrich: Das kommt auf den Bedarf an. Wie hoch ist die Kostenersparnis, was gibt es für Kontrollmöglichkeiten, und ist das Ganze auch sicher? Dabei sind alle Dinge entscheidend, auf die man auch bei beim Kauf neuer Software und Hardware achten würde.

 

LANline: Mit welchem zusätzlichen Aufwand für Sicherheit ist bei der Nutzung von Cloud-Diensten zu rechnen?

 

Sicherheit muss enthalten sein

 

Rudrich: Man sollte nicht mit zusätzlichen Kosten rechnen, sondern davon ausgehen, dass Sicherheit bereits im Cloud-Service enthalten ist. Wenn ich beispielsweise Apps von Google oder Apple nutze, kann ich erwarten, dass es ohne zusätzliche Kosten sicher ist. Das schließt natürlich nicht den Kauf gewisser Zusatzprodukte aus, um beispielsweise verschiedene User-Accounts in der Cloud zu überwachen.

 

LANline: Ist die interne Umorganisation der IT ein Kostenfaktor?

 

Rudrich: Nein, es ist eher mit kurz- und mittelfristigen Einsparungen zu rechnen, weil man sein IT-Team für die Nutzung von Cloud-Services grundsätzlich nicht umstrukturieren muss. Die Auslastung der IT-Ressourcen ist sogar geringer, und das freie Potenzial kann in anderen Bereiche wandern.

 

LANline: Herr Rudrich, vielen Dank für das Gespräch.

 

Der Autor auf LANline.de: jschroeper          

Weitere Artikel zu Exclusive Networks Group