Sicherheitsbedenken in der Cloud? – 10 Grundregeln für Cloud-Security

autor
von Karola am 19. Januar 2012 – 18:53
kommentare

Immer wieder gerät Cloud Computing in die Kritik aufgrund eventueller Sicherheitsrisiken und Compliance-Aspekte. Trotzdem interessieren sich immer mehr Unternehmen für die Technologie. Schließlich bieten die extern angebotenen Cloud-Services andere große Vorteile.
Bereits heut werden viele technische Maßnahmen zur Absicherung von Clouds eingesetzt. Wichtige Faktoren für den Erfolg eines Cloud-Services sind Aktivitäten rund um Risikoanalysen, Service Level Agreements und Provider Management. Die Normenreihe ISO 2700x, BSI: IT-Grundschutz und ITIL sind eine Grundlage für die Sicherheit in der Cloud. Daraus lassen sich vereinfacht 10 Regeln für eine hohe Sicherheit in der Cloud ableiten:

  1. Klärung der internen Organisationsstruktur (Verantwortlichkeiten und Rollen für Informationssicherheit, Management von Informationssicherheit – Cloud Governance)
  2. Verantwortung für Informationssicherheit insgesamt nie komplett an externen Dienstleister abgeben (Koordination, Management und Qualitätskontrolle)
  3. Risikoanalyse für den spezifischen Cloud-Service durchführen, auch genutzte Informationen und Prozesse analysieren
  4. Geschäftsszenario (Business Case) mit wirtschaftliche Aspekten, internen und kundenorientierten Prozessverbesserungen betrachten (Potenzielle Nutzeneffekte und Restrisiken gegenüberstellen
  5. Sicherheitsarchitektur: Detaillierte Festlegung der Arbeitsteilung und Schnittstellen zwischen dem Anbieter und dem eigenen Unternehmen (Technische und organisatorische Sicherheitsmaßnahmen)
  6. Klärung der Prozesse für Reporting, IT-Störungsmanagement und Audits beim Dienstleister
  7. Prüfung, ob der Cloud-Anbieter die angeforderte Leistung auch tatsächlich erbringen kann. Eventuelle Subunternehmer können zu einer negativen Risikoexposition führen.
  8. Festlegung von Anforderungen für den Umgang mit Daten und deren Speicherung in bestimmten Regionen
  9. Vereinbarung von passenden Service Levels, bei denen sicherheitsrelevante Kriterien gemessen werden können. Die vorgeschlagene Messmethode muss sorgfältig geprüft werden.
  10. Ausstiegsbedingungen: Berücksichtigung der Regeln und Maßnahmen bei eventuellem Anbieterwechsel

Diese Regeln sind eine Basis und gestalten sich umfangreicher in der Praxis. Je nach Umfang der Prozesse und Dienste unterscheidet sich der Aufwand für die Cloud-Security. Besonders bei SaaS-Angeboten lässt sich mit überschaubarem Aufwand eines hohes Sicherheitsniveau erreichen. Grund dafür ist, dass die Schnittstelle zwischen Anbieter und Kunde in der Regel sehr gut beschrieben werden kann. Der Zugriff erfolgt einfach über einen Webbrowser und es gibt Standards (SSL/TLS) für die Verschlüsselung der Übertragungsstrecke. In diesem Fall übernehmen Anbieter meist einen Großteil der Sicherheitsmaßnahmen in deren Cloud-Infrastruktur.

Zenkit - online Projektmanagement kostenlos


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert