Detecon empfiehlt striktere Vertragsklauseln beim Cloud Computing
Sicherheit von Cloud Computing ist Verhandlungssache
Oft gehen Cloud-Computing-Verträge auf Sicherheitsrisiken nur mangelhaft ein, obwohl die damit verbundene Schadenswahrscheinlichkeit hoch ist. Davor warnt das jüngste Opinion Paper der ICT-Management-Beratung Detecon. Es empfiehlt deshalb, Sicherheitsanforderungen früh und systematisch zu definieren sowie gegenüber dem jeweiligen Cloud-Anbieter vertraglich festzuschreiben. Zugleich betonen die Autoren, dass Anwender beim Umstieg zu Cloud Computing ihre IT-Sicherheit sogar erhöhen können.
"Grundsätzlich ist Cloud Computing nicht sicherer oder unsicherer als andere IT-Betriebsmodelle"
, betont Bernd Jaster, Detecon-Berater und Koautor der Studie. "Die neuen und spezifischen Risiken
müssen nur ausreichend adressiert und ernst genommen werden." Viele Gefährdungen ließen sich schon
durch detailliert formulierte Vertragsklauseln vermeiden: "Falls etwa die Daten wegen gesetzlicher
Vorschriften in einem bestimmten Land zu halten sind, muss ich mir einen Dienstleister wählen, der
das vertraglich zusichern kann."
Zugleich biete Cloud Computing Chancen für eine höhere IT-Sicherheit als bisher. Zum Beispiel
führe die mit der Wolke verbundene Zentralisierung der IT-Services immer auch zu einer höheren
Standardisierung von IT-Prozessen und zu spezialisierterem Fachwissen, was die Umsetzung von
Schutzmaßnahmen erleichtere. "Vor allem bei kleinen und mittleren Betrieben ist mit einem eher
höheren Sicherheitsniveau zu rechnen, da die IT-Aufgaben dann in den Händen größerer und erfahrener
IT-Dienstleister liegen", ergänzt Jaster.
Detecon weist darauf hin, dass Unternehmen, die den Einstieg in Cloud Computing planen, einen
Kriterienkatalog benötigen, der unter Berücksichtigung von Sicherheitsanforderungen und
Schutzzielen erstellt wird. Solch ein Katalog sei ein wichtiges Hilfsmittel bei der Anbieterauswahl
und den anschließenden Vertragsverhandlungen. Nur so könne ein tragfähiges Sicherheitskonzept für
die Migration und den Betrieb der IT-Dienste in der Cloud gewährleistet werden.
Das Detecon-Papier bewertet die Risiken nach möglicher Schadenshöhe und
Eintrittswahrscheinlichkeit. So befinden sich zum Beispiel IT-Dienste und -Anwendungen aus
Sicherheitsgründen traditionell in unterschiedlich geschützten Zonen innerhalb eines Netzwerks.
Beim Cloud Computing lässt sich diese Segmentierung bei Software-Schwachstellen oder
Fehlkonfigurationen vergleichsweise leicht umgehen. Ein weiterer wichtiger Aspekt ist der
geografische Ort der Daten. Vorgaben seitens des Geschäfts und zum Teil auch der Gesetzgeber
verlangen für manche IT-Dienste, dass deren Daten in bestimmten Ländern oder Regionen gehalten
werden. Doch nicht alle Cloud-Computing-Anbieter wollen oder können dies garantieren.
Solche Sicherheitslücken behindern derzeit ein noch schnelleres Wachstum des Cloud Computings.
Dies belegt eine im Detecon-Papier zitierte CIO-Research-Studie, nach der 45 Prozent der befragten
Chief Information Officers (CIOs) Sicherheit mit Abstand am häufigsten als kritischen Erfolgsfaktor
für Cloud Computing nennen. Zugleich unterzieht nicht einmal jedes zehnte die Cloud nutzende
Unternehmen den gebuchten Service einer ernsthaften Sicherheitsprüfung oder schult Mitarbeiter auf
Gefährdungen. Dies ist das Ergebnis einer aktuellen Untersuchung des Ponemon Institutes.
"Die Sicherheitsrisiken von Cloud Computing lassen sich oft mit einfachen Mitteln in den Griff
bekommen", sagt Bernd Jaster. "Sie müssen nur identifiziert und offen adressiert werden." Cloud
Computing sei keine neue Technologie, sondern ein Geschäftsmodell zur bedarfsgerechten und
flexiblen Erbringung von IT-Diensten, deren tatsächliche Nutzung abgerechnet wird. "Die heutigen
Anbietermärkte für Cloud Computing sind geprägt von Standardisierung, Automation und
Modularisierung. All diese Trends erhöhen die Sicherheit mehr, als dass sie sie untergraben", so
Jaster.
Das Opinion Paper "Wer klaut in der Cloud – Chancen und Risiken des Cloud Computings" steht
unter
www.detecon.com/cloudcomputing
kostenlos zum Download zur Verfügung.
LANline/pf
Lesen Sie mehr zum Thema
