Wenn es um die Auswahl eines Anbieters von Cloud-Services geht, steht erwiesener Maßen das Thema Sicherheit an erster Stelle. Das Auslagern von sensiblen Geschäftsdaten und das Abbilden von internen Geschäftsprozessen, bedürfen ein Höchstmaß an Sicherheit und Vertrauen in den Anbieter. Sicherheitsbereiche, die potentielle Risiken aufweisen, wurden unlängst in einer Studie von Gartner identifiziert. Im folgenden werden sieben Punkte vorgestellt, die bei jedem Anbieter-Check beachtet werden sollten:
Zugangsberechtigungen von Personal
Das vom Anbieter eingesetzte Personal sollte die hohen Ansprüche an die Sicherheit erfüllen. Daher wäre eine Kommunikation zwischen Anbieter und Kunden sehr wünschenswert, die den Personalauswahlprozess erläutert und genaue Informationen über die Rechte, mit denen Administratoren ausgestattet sind, liefert.
Unterstützung bei der Umsetzung rechtlicher Vorgaben
Da ein Kunde die volle Verantwortung für die Sicherheit seiner Daten besitzt, selbst wenn sich diese in einer Cloud befinden, muss auch in diesem Punkt eine Unterstützung seitens des Anbieters erfolgen. Viele Anbieter besitzen zusätzliche Zertifikate und lassen externe Audits problemlos zu.
Physikalischer Speicherort
Ein Anbieter sollte transparent darstellen können, wo sich seine Rechenzentren befinden. Somit können Risiken bezüglich unterschiedlicher Gerichtsbarkeiten in verschiedenen Ländern abgewägt werden.
Datentrennung
Ein klares Konzept zur Trennung von Daten auf Systemen, die auch von anderen Kunden genutzt werden, sollte jeder Anbieter vorweisen können. Auch zum Thema Verschlüsselungsverfahren sollte der Anbieter ein hohes Know-How haben. Verschlüsselungsfehler können große Mengen an Daten unbrauchbar machen und selbst bei normalen Verschlüsselungsverfahren kann es zu Verfügbarkeitsproblemen kommen.
Datensicherung / -wiederherstellung
Auf die Frage nach den Absicherungskonzepten für den schlimmsten aller Fälle sollte jeder Anbieter eine klare Antwort liefern. Der Anbieter muss erklären können, was er leistet, um bei einem totalen Verlust der Daten eine umfassende Wiederherstellung zu garantieren. Auch in welchen Zeiträumen solche Wiederherstellungen ablaufen, sollte durch den Anbieter kommuniziert werden.
Monitoring und Reporting
Das umfassende und effiziente Monitoring von Aktivitäten innerhalb einer Public Cloud ist sehr schwer umzusetzen. Daher sollte ein Anbieter eine große Kompetenz im Monitoring seiner Systeme besitzen.
Geschäftsbeständigkeit
Im Idealfall besteht das Unternehmen, bei dem man seine sensiblen Daten ausgelagert hat, ein Leben lang. Sollte es jedoch wider Erwarten zu einem Konkurs oder einer Übernahme des Anbieters kommen, sollte für diesen Fall eine klare Vereinbarung für den Umgang mit den Kundendaten getroffen werden.