Risiko oder Chance?

Die Cloud als Business Enabler – solange kein Sturm aufzieht

| Autor / Redakteur: Stephan Krische * / Elke Witmer-Goßner

Nicht zuletzt spielen Zertifizierungen eine wichtige Rolle – insbesondere für das Vertrauensverhältnis zwischen Anbieter und Anwender. Im Bereich der Cloud-Dienste sind im Wesentlichen zwei Normen zu berücksichtigen. Zum einen die ISO 27001: Diese Norm ist die Grundvoraussetzung für den Betrieb eines Cloud-Dienstes. Anbieter mit dieser Zertifizierung haben Prozesse und technische Maßnahmen – unter Berücksichtigung der dafür vorgesehenen vier Tier-Qualitätsstufen zur Klassifikation der Rechenzentren – umgesetzt, um den Grundsätzen der Vertraulichkeit, Verfügbarkeit und Integrität im Umgang mit Kundendaten zu entsprechen.

Hinzu kommt die ISO 27018: Diese Norm existiert seit 2014, und sie gibt nicht nur einen technischen Standard vor, sondern regelt auch Compliance-Anforderungen an die Verarbeitung der Daten beim Cloud-Anbieter nach EU-Datenschutzvorgaben. Einige Anbieter, wie beispielsweise Dropbox, haben sich bereits zertifizieren lassen.

Geprüfte Vertraulichkeit

Unternehmen, Kanzleien und ggf. Freelancer, die mit als geheim eingestuften Daten (z.B. im Umgang mit Prototypen oder Patenten) arbeiten, sollten die Zertifizierung des Cloud-Anbieters genau prüfen. Der VDA (Verband Deutscher Automobilindustrie) beispielsweise hat Anforderungen an eine Erweiterung der ISO 27001 gestellt, die den Umgang mit geheimen Daten beschreibt.

Auch bei der Vertragsgestaltung gilt es einiges zu Bedenken. So sollte beispielsweise der Vertrag mit dem Cloud-Anbieter neben technischen Aspekten auch die Ausgestaltung des SLA (Service Level Agreement) beinhalten. Im Folgenden werden einige grundlegende Bestandteile, die der Vertrag mit einem Cloud-Anbieter beinhalten sollte, dargestellt. Grundsätzlich empfiehlt sich jedoch eine Vertragsprüfung durch einen Fachanwalt.

Es sollte darauf geachtet werden, dass eine verschlüsselte Verbindung (VPN, HTTPS etc.) vom Standort zum Anbieter realisierbar ist. Der Umfang der angebotenen Dienste wird sich während der Laufzeit des Vertrags mit dem Cloud-Anbieter höchstwahrscheinlich verändern. Technische Veränderungen (Down- oder Upgrade der Dienste) während der Vertragslaufzeiten sollten möglich sein. Die Aufteilung der Verantwortlichkeiten zwischen Kunden und Anbieter sollte im Vertrag beschrieben sein: Welche Leistungen hat der Anbieter zu erbringen, was muss vom Kunden selbst im Bereich Softwareaktualisierung, Konfiguration etc. durchgeführt werden und mit welcher Verfügbarkeit des Cloud-Dienstes kann der Kunde rechnen.

Anbindung an die Cloud

Je kritischer die Auswirkungen eines Ausfalls auf die Geschäftsprozesse sind, desto höher sollte die Verfügbarkeit sein. Die Werte für die Verfügbarkeit werden meist in Prozent pro Jahr angegeben. Eine Verfügbarkeit von 99 Prozent sollte mindestens angeboten werden, dies bedeutet einen zugelassenen Ausfallzeitraum von 3,65 Tagen pro Jahr. Eine Datensicherung ist meistens Bestandteil des Vertrages, jedoch sollte eine genaue Prüfung offenlegen, in welchen Zeitabständen die Daten durch den Cloud-Anbieter gesichert werden und wie eine Wiederherstellung im Notfall geregelt ist.

Der Kunde sollte darüber hinaus immer auch die Möglichkeit haben, eine Sicherung der Daten aus der Cloud auf einen lokalen Datenträger vorzunehmen. Der Zugriff auf die Cloud ist durch Passwörter gesichert; diese sollten sicher (Benutzung von mind. zehn Stellen, mit Sonderzeichen, Nummern, Groß- und Kleinschreibung) sein und regelmäßig geändert werden. Idealerweise unterstützt der Anbieter die Anmeldung am System per Zweifaktorauthentifizierung zur Verstärkung der Absicherung. Wichtig ist nicht zuletzt die Frage, welche Regelungen für einen Vertragsausstieg vorgesehen sind und wie der Nutzer in diesem Fall an seine Daten kommt.

Vorbeugender Schutz

Stephan Krische, BISG.
Stephan Krische, BISG. (Bild: BISG)

Der Schritt in die Cloud kann durchaus sinnvoll, ja sogar wirtschaftlich extrem wichtig sein. Er muss aber ebenso gut geplant sein. Es gilt, im Vorfeld die wichtigsten Fragen, bezogen auf die eigene Unternehmensart und -größe, (ehrlich) zu beantworten. Auch sollte der Markt der Cloud-Anbieter genau durchleuchtet werden. Diese Planung kostet Zeit. Doch verglichen mit der Zeit, die man nach einem professionell geplanten Schritt in die Cloud spart (hinsichtlich Installation, Rollout, Wartung, Schulung, Support etc.), rechnet sich dieser Aufwand. Unternehmen, die diese Planungszeit (noch) nicht aufbringen können, sollten sich hingegen den Schritt in die Cloud überlegen. Andernfalls ist der nächste IT-Sturm leicht vorhersehbar.

* Der Autor Stephan Krische ist Fachbereichsleiter IT-Sicherheit beim Bundesverband der IT-Sachverständigen und -Gutachter (BISG).

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43771216 / Risk Management)