Zehn Regeln für Cloud Security

Handlungsleitfaden für Cloud Security: Anbieter von Cloud Services müssen dringend Sicherheits-Standards schaffen und kommunizieren
Solide technische Maßnahmen zur Absicherung von Cloud Services sind wichtig und bereits heute überwiegend einsetzbar

(09.03.10) - Cloud Services sind in aller Munde, doch wie steht es um die Sicherheit dieser Dienste? Die Diskussion wird heute oftmals auf technologischer Ebene geführt, doch der wahre Schlüssel zum Erfolg liegt in den Aktivitäten rund um Risikoanalysen, Service Level Agreements und Provider Management. Dann lässt sich durch extern bezogene Cloud Services mit vertretbarem Aufwand ein höheres Sicherheitsniveau als bei der Inhouse-Variante erzielen.

Immer mehr deutsche Unternehmen prüfen extern angebotene Cloud Services. Als Hemmnis für deren Einsatz werden aber immer wieder Sicherheitsbedenken und Compliance-Aspekte ins Feld geführt. Ausgenommen hiervon sind einzelne Dienste, die schon einige Jahre am Markt platziert und erprobt sind.

Lesen Sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de)

"Die Situation erscheint paradox: Grundsätzlich ermöglichen es externe Cloud Services der Mehrzahl der Kunden, die Sicherheit bestimmter Anwendungen und Dienste auf ein höheres Niveau als bislang zu heben" sagt Wolfram Funk, Senior Advisor bei der Experton Group. "Da externe Cloud-Dienstleister ihre Dienste für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben."

Lesen Sie zum Thema "IT Security" auch: IT SecCity.de (www.itseccity.de)

Solide technische Maßnahmen zur Absicherung von Cloud Services sind wichtig und bereits heute überwiegend einsetzbar. Noch wichtiger jedoch ist die Ausgestaltung der Beziehung zum Cloud Computing-Dienstleister und den damit verknüpften Aktivitäten, die den Rahmen für die technologische Ausgestaltung prägen. "Risikoanalysen, Service Level Agreements und Provider-Management sind mit Blick auf Cloud Security der Schlüssel zum Erfolg", stellt Wolfram Funk fest. Die ISO 2700x-Reihe, BSI IT-Grundschutz und ITIL geben hierfür einen geeigneten Rahmen vor.

Dies sind die zehn Regeln für eine hohe Sicherheit von extern bezogenen Cloud Services:

1. Zunächst die interne Organisationsstruktur auf Vordermann bringen sowie Verantwortlichkeiten und Rollen für Informationssicherheit intern klären. Dies gilt auch für das Informationssicherheits-Management und die Steuerung (Governance) von Informationssicherheit.
2. Die Verantwortung für Informations-Sicherheit insgesamt und für Koordination, Management und Qualitätskontrolle externer Dienstleister verbleibt immer im Unternehmen – auch bei extern bezogenen Cloud Services.
3. Eine detaillierte Risikoanalyse für den spezifischen Cloud Service, der extern bezogen wird, sowie die zur Debatte stehenden Informationen und Prozesse durchführen. Dies schließt Compliance-Risiken mit ein.
4. Ist der Business Case stimmig? Wirtschaftliche Aspekte, interne und kundenorientierte Prozessverbesserungen und weitere potenzielle Nutzeneffekte müssen den erwarteten (Rest-) Risiken gegenübergestellt werden.
5. Sicherheitsarchitektur: Arbeitsteilung und Schnittstellen zwischen dem Provider und dem eigenen Unternehmen detailliert festlegen. Sind die technischen und organisatorischen Sicherheitsmaßnahmen lückenlos?
6. Prozesse für Reporting, Incident Management und Audits beim Dienstleister festschreiben.
7. Kann der Cloud-Dienstleister die angeforderte Leistung auch tatsächlich erbringen? Hier ist auch zu hinterfragen, ob er Subunternehmer einsetzt, die zu einer (negativ) veränderten Risikoexposition führen könnten.
8. Die Einhaltung regulatorischer Anforderungen durch den Provider klären und festschreiben, u.a. mit Blick auf den Umgang mit Daten und deren Speicherung in bestimmten Regionen.
9. Für sicherheitsrelevante Kriterien sollen nur solche Service Level vereinbart werden, die gemessen werden können. Die vorgeschlagene Messmethode muss sorgfältig geprüft werden.
10. Der Kunde muss im Vorfeld festlegen, wie die Exit-Bedingungen im Falle eines Providerwechsels aussehen. Ein "Vendor-Lock-In" kann das Unternehmen im Ernstfall teuer zu stehen kommen.

Wie aufwändig die Prozesse rund um Cloud Security werden, hängt vom spezifischen Dienst ab. Tendenziell erlaubt es das SaaS-Modell (SaaS – Software-as-a-Service) am ehesten, mit überschaubarem Aufwand ein hohes Sicherheitsniveau zu erreichen. Bei SaaS ist die Schnittstelle zwischen Provider und Kunde in der Regel sehr gut beschrieben, da der Zugriff über einen Webbrowser erfolgt und für die Verschlüsselung der Übertragungsstrecke SSL/TLS als Standard gesetzt ist.

Der Anbieter kümmert sich komplett um die Sicherheitsmaßnahmen in seiner Cloud-Infrastruktur. Allerdings sollten im Vorfeld unbedingt Fragen rund um Compliance, Reporting und Auditierung aus der SaaS-Anwendung heraus sowie Backup und e-Discovery geklärt werden. Außerdem müssen die Anforderungen an das Identitäts- und Zugriffsmanagement beim Kunden eingehend geprüft werden.

Schwieriger wird es bei PaaS (Platform-as-a-Service) oder gar IaaS (Infrastructure-as-a-Service). Dort werden höhere Anforderungen an die detaillierte Festlegung der Arbeitsteilung zwischen Kunde und Anbieter gestellt, was das Thema Informationssicherheit angeht. Unternehmen, die wenig Erfahrung mit Outsourcing allgemein und speziell auch mit Blick auf den zur Debatte stehenden Service haben, sollten einen kompetenten Sourcing- und Sicherheitsberater hinzuziehen.

"Die Anbieter von Cloud Services müssen heute die Standards für Cloud Security aktiv mitgestalten und dafür sorgen, dass anbieterübergreifend ein hohes Sicherheitsniveau erreicht wird", fordert Wolfram Funk. Sie sollten großes Augenmerk auf vertrauensbildende Maßnahmen bei den künftigen Kunden legen und vor allem mehr Transparenz in den Cloud-Service-Angeboten schaffen.

Die Experton Group bietet interessierten Unternehmen auf Anfrage einen Handlungsleitfaden mit Empfehlungen und Checklisten für Cloud Security Governance, Compliance und technische Sicherheitsmaßnahmen. (Experton Group: ra)

Experton Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Anzeigen

Meldungen: Hintergrund

Gestaltung einer Outsourcing-Beziehung - Wer seine IT das erste Mal an einen Dienstleister ausgelagert, ist oft nicht auf Anhieb erfolgreich. Stolpersteine findet man bereits bei der Transition - also der Überführung der Services - zum externen Partner. Häufig werden auch noch ein Jahr nach dem Betriebsübergang nicht alle vereinbarten Service Levels erreicht. In Einzelfällen wird sogar, obwohl vertraglich geschuldet, auf deren Messung verzichtet. Bei den meisten Unternehmen wird zudem die gewünschte Leistungs- und Kostentransparenz nicht erreicht und verursacht dauerhafte Konflikte mit dem externen Partner. Dann ist es höchste Zeit, über eine Umgestaltung der Outsourcing-Beziehung nach zu denken.
Cloud Computing und Security Policies - Am 1. Juni 2010 fand in Zürich das Entscheiderforum "Information Management zwischen Inhouse und Cloud" der Vereon AG statt. Unter dem Motto "Kostenersparnis oder Sicherheitsrisiko?" wurden Businessanwendungen in der Cloud im Hinblick auf rechtliche Vorschriften und IT-Security Aspekte diskutiert.
Wann lässt sich IT am besten outsourcen? - Gerade in wirtschaftlich angespannten Zeiten erwägen viele Unternehmen das Outsourcing von IT-Dienstleistungen. Dabei sollten Unternehmen aber nicht nur kurzfristige Kostenaspekte, sondern auch strategische Ziele im Auge behalten, sagt Nesodo.
Risikomanagement beim Outsourcing - Auch bei der Auslagerung von IT oder Geschäftsprozessen sind Unternehmen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Die Verantwortung über die ausgelagerten Bereiche verbleibt also beim Auftraggeber. Sicherheitsexperte Cyber-Ark sieht an diesem Punkt bei vielen Unternehmen großen Handlungsbedarf und eine Verletzung gängiger Compliance-Vorschriften.
Farshore-Anbieter nur mit "ausreichend" bewertet - Deutsche Unternehmen sind mit ihren heimischen IT-Dienstleistern deutlich zufriedener als mit exotischen Offshore-Anbietern. Einer Umfrage des Harvard Business Managers zufolge werden den Anbietern aus dem Inland (Onshore), insbesondere bei der Kommunikation und Koordination, bessere Noten ausgestellt. Nach Schulnoten bewertet, geben die IT-Fachkräfte den Dienstleistern vor Ort ein solides "gut".
Alle Assets der Systemlandschaft erfassen - Setzten Entscheider 2009 noch auf Konsolidierung, sind für sie 2010 Virtualisierung und Software-as-a-Service (SaaS) Schlüssel zu schlankeren IT-Budgets. Doch erfolgreiche Virtualisierungsprojekte und alternative Bereitstellungsmodelle bedingen eine Standardisierung der IT-Infrastruktur sowie ein einheitliches Management-Konzept. Denn die Verwaltung von Systemlandschaften aus virtuellen und physikalischen IT-Assets ist komplex.
Die Zukunft der IT-Dienstleistungen - Die Margen im Hardware- und Softwareverkauf sind deutlich geschrumpft. Systemhäuser müssen in Sachen IT-Dienstleistungen umdenken. Aber bei den Dienstleistungen kann man sich immer noch profilieren.
IT-Trend: Offshore-Outsourcing statt In-House - Indien, China und Brasilien sind nach wie vor weltweit die Länder, in die Firmen am häufigsten ihre Services auslagern, um Kosten zu sparen. In Europa gibt Großbritannien den Ton an. Deutschland liegt im europäischen Vergleich noch weit hinten. Laut David Hucke, Co-Gründer vom Kölner IT-Unternehmen Nesodo, wird das Offshore-Outsourcing zwar mittlerweile in Deutschland angenommen, jedoch sei der Markt hierfür noch nicht sehr weit entwickelt.
Betrieb von Cloud-basierten Lösungen - IT-Spezialistin arago sieht im Cloud Computing eine Chance, die Herausforderungen einer heute äußerst ineffizienten IT-Infrastruktur zu lösen. "Die Kapazitäten heutiger Systeme lassen sich oft nur schwer bedarfsgerecht und damit wirklich energie- und kosteneffizient bereitstellen. Abhilfe könnte die Cloud-basierte Bereitstellung von IT-Services schaffen, allerdings sind die heutigen Angebote zumeist für reine Standardanwendungen geeignet.
Vorteile von Online-Backups - Daten sämtlicher Art stellen für Firmen ein sensibles Unternehmenskapital dar. Gehen diese durch Hardwaredefekte, Brand- bzw. Wasserschäden, Diebstahl oder Viren verloren, ist an eine Weiterführung des Tagesgeschäfts nicht mehr zu denken und sogar Folgeschäden, vor allem finanzieller Natur, drohen. Das Erstellen von Sicherungskopien gehört inzwischen zur Pflicht, ist aber - und das wird einem der firmeninterne IT-Beauftragte bestätigen - langwierig, aufwendig, lästig und überdies mit immer wiederkehrenden Investitionen verbunden.

Gehe zu: Gestaltung von Cloud Computing-Verträgen Praxistest: "SAP Business ByDesign"