28.12.2015
Verantwortung
1. Teil: „Sicher in die Cloud – aber wie?“
Sicher in die Cloud – aber wie?
Autor: Pius Grüter
Fotolia / Nomad_Soul
IT-Verantwortlichen fällt es schwer, die von ihnen geforderte Informationssicherheit zu verantworten. com! professional zeigt, wie CIOs von der Cloud profitieren und ihrer Verantwortung nachkommen.
Kosteneinsparungen und Effizienzsteigerungen – die meistgenannten Vorteile der virtuellen Infrastruktur – sind schlagende Argumente für die Verlagerung der IT in die Cloud. Bei einer genaueren Betrachtung fällt es IT-Verantwortlichen jedoch schwer, die von ihnen geforderte Informationssicherheit zu verantworten. Schließlich müssen sie sicherstellen, dass die Informationen vertraulich, integer und authentisch bleiben und jederzeit verfügbar sind.
Das Angebot vieler Cloud-Anbieter ist verlockend, aber intransparent. Weder der Datenstandort noch die eingebundenen Partnerunternehmen sind bekannt und beeinflussbar. Der Mangel an etablierten internationalen Standards macht es schwer, Anbieter zu beurteilen und zu vergleichen. Eine genaue Prüfung der rechtlichen Rahmenbedingungen, der physischen Infrastruktur und der involvierten Unternehmen ist daher dringend zu empfehlen.
Einhaltung des Datenschutzes
Die Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten unterliegt generell dem Datenschutz und darf im Zuge der Cloud-Verarbeitung auf keinen Fall unterwandert werden. Diese Daten dürfen nur zu dem Zweck bearbeitet werden, der bei ihrer Beschaffung angegeben wurde.
Nach Bundesdatenschutzgesetz (BDSG) gilt ein Cloud-Anwender bei Erhebung personenbezogener Daten als rechtlich verantwortlich. Selbst wenn der Cloud-Anwender die Dienstleistungen eines Cloud-Anbieters in Anspruch nimmt, etwa um die Daten zu speichern oder zu verarbeiten, bleibt der Cloud-Anwender für die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen in der Verantwortung.
Bei der Auswahl des Cloud-Anbieters können sich Anwender grundsätzlich an der Zertifizierung nach ISO 27001 orientieren. Allerdings muss der Cloud-Anwender vom Cloud-Anbieter auch einen Nachweis von einer unabhängigen Stelle einfordern, womit die Datenschutzrisiken für den Anwender wie vom Gesetz vorgeschrieben begrenzt werden.
Sollte der Cloud-Anbieter selbst Unteranbieter beauftragen, dann muss dafür einerseits die Erlaubnis des Cloud-Anwenders vorliegen. Andererseits muss für die Unterbeauftragung der gleiche Kontrollmaßstab wie zwischen Cloud-Anwender und Cloud-Anbieter angelegt werden und der zwischen dem Cloud-Anbieter und dem Unterauftragnehmer geschlossene Vertrag die zwischen dem Cloud-Anwender und Cloud-Anbieter geltenden Vertragsbedingungen widerspiegeln. Weil der EuGH aber kürzlich das Safe-Harbor-Abkommen mit den USA für ungültig erklärt hat, dürfen personenbezogene Daten künftig nicht mehr in die USA transferiert werden.
Wichtig: Die Beauftragung des Cloud-Anbieters muss schriftlich erfolgen. Eine Mustervereinbarung bietet der Hessische Datenschutzbeauftragte.
2. Teil: „Zentrale Infrastruktur am gesicherten Primärstandort“
Zentrale Infrastruktur am gesicherten Primärstandort
Der Begriff Cloud-Computing sollte nicht darüber hinwegtäuschen, dass die IT nach wie vor einen festen physischen Standort in einem oder mehreren Rechenzentren hat. Ein optimal gesicherter Primärstandort des Cloud-Anbieters liegt in einer risikoarmen, aber gut erschlossenen Zone und ist durch geeignete physische Sicherheitsmaßnahmen vor unbefugten Zugriffen geschützt. Die gleichen Kriterien gelten selbstverständlich auch für den Backup-Standort. Dieser sollte zur Wahrung der Business-Continuity in ausreichender Distanz zum Primärrechenzentrum liegen.
Leistungserbringerwahl
Mit Wachstumsraten von über 40 Prozent pro Jahr ist der Cloud-Markt der derzeit dynamischste ICT-Bereich. Neue Dienstleistungen entstehen fast täglich, ebenso neue Anbieter. Es empfiehlt sich daher, Unternehmen und Dienstleistungsmodelle in Bezug auf Service-Leistungen, Zertifizierungen, Rentabilität und Zukunftssicherheit besonders kritisch zu betrachten. Wichtige Hinweise geben die Kundenreferenzen.
Der Cloud-Anbieter sollte dem Kunden die freie Wahl von Support- und Umsetzungspartner überlassen. Denn welche Zusammensetzung für den Einstieg in die Cloud sinnvoll ist, hängt vom jeweiligen Projekt ab. Damit die Vorteile der Cloud – Kosteneinsparungen und Effizienzgewinn – zum Tragen kommen, ist eine Reduktion auf möglichst wenige spezialisierte Leistungserbringer ratsam. Dies vereinfacht auch die Zuordnung der Verantwortlichkeiten – von der Infrastruktur über die Virtualisierung bis hin zum Support der Anwendung.
Erfolgt die Auslagerung in die Cloud zunächst nur für eine begrenzte Funktion oder einen Prozess, so erweist sich dies bei positivem Verlauf oft lediglich als erster Schritt, dem weitere folgen. Es empfiehlt sich deshalb, bereits zu Beginn abzuklären, welche Zukunftsperspektiven der Cloud-Partner bietet. Welche Schnittstellen stehen beispielsweise zur Verfügung und was leistet die Managementkonsole? Ist es verhältnismäßig einfach, Testumgebungen aufzubauen und Anwendungen in die Cloud oder wieder zurück in die eigene Infrastruktur zu verlagern? Sind beim Cloud-Anbieter mehrere Datenstandorte wählbar und bietet er auch Lösungen für hybride Clouds? Es lohnt sich, schon bei der Partnerwahl genau hinzuschauen, welche Plattform zum Einsatz kommt und wie der Partner sie weiterentwickelt.
3. Teil: „Kein Grund zum Cloud-Computing-Verzicht“
Kein Grund zum Cloud-Computing-Verzicht
Auch verantwortungsvolle CIOs müssen auf den Einsatz von Cloud-Computing keinesfalls verzichten – wenn sie ihn überlegt angehen und sich aller Implikationen bewusst sind. Vor allem Unternehmen, die im Zusammenhang mit der Benutzung eines Cloud-Services Datensammlungen oder geschäftskritische Anwendungen in die Cloud auslagern wollen, sollten die geplanten Dienstleistungen im Vorfeld genau prüfen.
Huawei Roadshow 2024
Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs
Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen.
>>
Nach der Unify-Übernahme
Mitels kombinierte Portfoliostrategie
Der UCC-Spezialist Mitel bereinigt nach der Unify-Übernahme sein Portfolio – und möchte sich auf die Bereiche Hybrid Cloud-Anwendungen, Integrationsmöglichkeiten in vertikalen Branchen sowie auf den DECT-Bereich konzentrieren.
>>
Umweltschutz
Netcloud erhält ISO 14001 Zertifizierung für Umweltmanagement
Das Schweizer ICT-Unternehmen Netcloud hat sich erstmalig im Rahmen eines Audits nach ISO 14001 zertifizieren lassen. Die ISO-Zertifizierung erkennt an wenn Unternehmen sich nachhaltigen Geschäftspraktiken verpflichten.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>