CANCOM SE Worauf müssen Unternehmen bei der Wahl eines Cloud Providers achten? Ein Best-Practice-Leitfaden liefert Kriterien für eine sichere Wahl.
Unternehmen verlagern immer mehr Services in die Wolke und bedienen unterschiedliche Partner. Die IT-Infrastruktur wird sowohl im eigenen Rechenzentrum als auch in der Cloud betrieben. Aber: Ist die Cloud so sicher wie die eigene IT-Infrastruktur? Unternehmen, die sich aktuell diese Frage stellen, sollten laut Red Hat fünf wichtige Aspekte beachten.
Ist-Analyse der eigenen IT-InfrastrukturWelche Applikationen eignen sich für eine Migration in die Cloud? Welche sollten aufgrund von Compliance- oder datenschutzrechtlichen Gründen weiterhin im eigenen Rechenzentrum betrieben werden?
Unternehmen müssen ihre IT vor dem Outsourcing genau analysieren. Ein besonderes Augenmerk sollte auf die internen Sicherheitsmaßnahmen gelegt werden. Die eigenen Sicherheitsstandards sind die erste Messlatte für die Security des externen Providers.
"Der größte Fehler, den ein Unternehmen bei der Auslagerung von IT-Bereichen machen kann: Man vertraut dem Cloud-Provider blind und geht davon aus, dass hohe Sicherheit gewährleistet ist", erklärt Frederik Bijlsma, EMEA Business Unit Manager Cloud bei Red Hat.
Diese Provider-Zertifizierungen sind relevant und sollten geprüft werden► ISO 27001: Definiert Anforderungen an die Bereitstellung und den Betrieb eines Informationssicherheits-Managementsystems.
► ISO 27002: Enthält Empfehlungen für Kontrollmechanismen für die Informationssicherheit.
► SAS70, SSAE16: Diese Zertifizierungen stellen sicher, dass alle Anforderungen an Datensicherheit, Risikomanagement und an interne Kontrollsysteme erfüllt werden. Sie haben sich im internationalen Umfeld als Nachweis bewährt
► IDW PS 951: Ist eine vergleichbare deutsche Richtlinie zu den oben genannten, internationalen Standards, SAS70 und SSAE16. Sie wurde vom Institut der Wirtschaftsprüfer herausgegeben.
Prüfung der IT-Security-Lösungen des ProvidersEin Best-Practice-Ansatz zur Überprüfung der IT-Security des Providers ist die Ausarbeitung eines Kriterienkatalogs. Doch welche Aspekte sollte ein solcher Katalog enthalten?
Eine gute Hilfestellung für die Mindestanforderungen bietet das Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter" des BSI. Die Sicherheitsempfehlungen enthalten unter anderem Informationen zu Rechtemanagement, Notfallmanagement und Sicherheitsprüfungen.
Überprüfung der Einhaltung von Datenschutzgesetzen und -richtlinienNeben der Einhaltung der datenschutzrechtlichen Bestimmungen, die im Bundesdatenschutz geregelt sind, müssen Provider auch branchenspezifische Standards abdecken:
Ein Beispiel ist der Payment Card Industry Data Security Standard (PCI-DSS). Er gilt für Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern und übermitteln.
"Entscheidet sich ein Unternehmen für einen Cloud-Anbieter, spielen vertrauensbildende Maßnahmen eine zentrale Rolle. Sind die Kontrollmechanismen zwischen dem Cloud-Provider und dem Kunden eindeutig geregelt und verlässlich, entsteht auch Vertrauen", erklärt Frederik Bijlsma, EMEA Business Unit Manager Cloud bei Red Hat.
Richtlinien zur Überwachung, Steuerung und RisikokontrolleUnternehmen sind verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Das Outsourcing der IT ist von dieser Regelung nicht ausgenommen.
► Wie werden die Daten gesichert?
► Wo werden sie gespeichert?
► Welche Datenzugriffsmöglichkeiten bietet der Provider?
Elementare Fragen, die IT-Sicherheitsbeauftragte dem Provider stellen müssen, um die Sicherheitsrichtlinien, Prozesse und die Zuständigkeiten des Cloud-Providers unter die Lupe zu nehmen und ggf. eindeutig zu definieren.
Sind die Prozesse und Maßnahmen für eine zuverlässige Sicherheitsvorkehrung bei Providern einmal festgelegt, müssen sie regelmäßig überprüft und aktualisiert werden.
Quelle Featured-Image: Flickr/Clouds over Santorini von Klearchos Kapoutsis
|
weitergeleitet durch
|
