28.12.2015
Verantwortung
1. Teil: „Sicher in die Cloud – aber wie?“
Sicher in die Cloud – aber wie?
Autor: Pius Grüter
Fotolia / Nomad_Soul
IT-Verantwortlichen fällt es schwer, die von ihnen geforderte Informationssicherheit zu verantworten. com! professional zeigt, wie CIOs von der Cloud profitieren und ihrer Verantwortung nachkommen.
Kosteneinsparungen und Effizienzsteigerungen – die meistgenannten Vorteile der virtuellen Infrastruktur – sind schlagende Argumente für die Verlagerung der IT in die Cloud. Bei einer genaueren Betrachtung fällt es IT-Verantwortlichen jedoch schwer, die von ihnen geforderte Informationssicherheit zu verantworten. Schließlich müssen sie sicherstellen, dass die Informationen vertraulich, integer und authentisch bleiben und jederzeit verfügbar sind.
Das Angebot vieler Cloud-Anbieter ist verlockend, aber intransparent. Weder der Datenstandort noch die eingebundenen Partnerunternehmen sind bekannt und beeinflussbar. Der Mangel an etablierten internationalen Standards macht es schwer, Anbieter zu beurteilen und zu vergleichen. Eine genaue Prüfung der rechtlichen Rahmenbedingungen, der physischen Infrastruktur und der involvierten Unternehmen ist daher dringend zu empfehlen.
Einhaltung des Datenschutzes
Die Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten unterliegt generell dem Datenschutz und darf im Zuge der Cloud-Verarbeitung auf keinen Fall unterwandert werden. Diese Daten dürfen nur zu dem Zweck bearbeitet werden, der bei ihrer Beschaffung angegeben wurde.
Nach Bundesdatenschutzgesetz (BDSG) gilt ein Cloud-Anwender bei Erhebung personenbezogener Daten als rechtlich verantwortlich. Selbst wenn der Cloud-Anwender die Dienstleistungen eines Cloud-Anbieters in Anspruch nimmt, etwa um die Daten zu speichern oder zu verarbeiten, bleibt der Cloud-Anwender für die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen in der Verantwortung.
Bei der Auswahl des Cloud-Anbieters können sich Anwender grundsätzlich an der Zertifizierung nach ISO 27001 orientieren. Allerdings muss der Cloud-Anwender vom Cloud-Anbieter auch einen Nachweis von einer unabhängigen Stelle einfordern, womit die Datenschutzrisiken für den Anwender wie vom Gesetz vorgeschrieben begrenzt werden.
Sollte der Cloud-Anbieter selbst Unteranbieter beauftragen, dann muss dafür einerseits die Erlaubnis des Cloud-Anwenders vorliegen. Andererseits muss für die Unterbeauftragung der gleiche Kontrollmaßstab wie zwischen Cloud-Anwender und Cloud-Anbieter angelegt werden und der zwischen dem Cloud-Anbieter und dem Unterauftragnehmer geschlossene Vertrag die zwischen dem Cloud-Anwender und Cloud-Anbieter geltenden Vertragsbedingungen widerspiegeln. Weil der EuGH aber kürzlich das Safe-Harbor-Abkommen mit den USA für ungültig erklärt hat, dürfen personenbezogene Daten künftig nicht mehr in die USA transferiert werden.
Wichtig: Die Beauftragung des Cloud-Anbieters muss schriftlich erfolgen. Eine Mustervereinbarung bietet der Hessische Datenschutzbeauftragte.
2. Teil: „Zentrale Infrastruktur am gesicherten Primärstandort“
Zentrale Infrastruktur am gesicherten Primärstandort
Der Begriff Cloud-Computing sollte nicht darüber hinwegtäuschen, dass die IT nach wie vor einen festen physischen Standort in einem oder mehreren Rechenzentren hat. Ein optimal gesicherter Primärstandort des Cloud-Anbieters liegt in einer risikoarmen, aber gut erschlossenen Zone und ist durch geeignete physische Sicherheitsmaßnahmen vor unbefugten Zugriffen geschützt. Die gleichen Kriterien gelten selbstverständlich auch für den Backup-Standort. Dieser sollte zur Wahrung der Business-Continuity in ausreichender Distanz zum Primärrechenzentrum liegen.
Leistungserbringerwahl
Mit Wachstumsraten von über 40 Prozent pro Jahr ist der Cloud-Markt der derzeit dynamischste ICT-Bereich. Neue Dienstleistungen entstehen fast täglich, ebenso neue Anbieter. Es empfiehlt sich daher, Unternehmen und Dienstleistungsmodelle in Bezug auf Service-Leistungen, Zertifizierungen, Rentabilität und Zukunftssicherheit besonders kritisch zu betrachten. Wichtige Hinweise geben die Kundenreferenzen.
Der Cloud-Anbieter sollte dem Kunden die freie Wahl von Support- und Umsetzungspartner überlassen. Denn welche Zusammensetzung für den Einstieg in die Cloud sinnvoll ist, hängt vom jeweiligen Projekt ab. Damit die Vorteile der Cloud – Kosteneinsparungen und Effizienzgewinn – zum Tragen kommen, ist eine Reduktion auf möglichst wenige spezialisierte Leistungserbringer ratsam. Dies vereinfacht auch die Zuordnung der Verantwortlichkeiten – von der Infrastruktur über die Virtualisierung bis hin zum Support der Anwendung.
Erfolgt die Auslagerung in die Cloud zunächst nur für eine begrenzte Funktion oder einen Prozess, so erweist sich dies bei positivem Verlauf oft lediglich als erster Schritt, dem weitere folgen. Es empfiehlt sich deshalb, bereits zu Beginn abzuklären, welche Zukunftsperspektiven der Cloud-Partner bietet. Welche Schnittstellen stehen beispielsweise zur Verfügung und was leistet die Managementkonsole? Ist es verhältnismäßig einfach, Testumgebungen aufzubauen und Anwendungen in die Cloud oder wieder zurück in die eigene Infrastruktur zu verlagern? Sind beim Cloud-Anbieter mehrere Datenstandorte wählbar und bietet er auch Lösungen für hybride Clouds? Es lohnt sich, schon bei der Partnerwahl genau hinzuschauen, welche Plattform zum Einsatz kommt und wie der Partner sie weiterentwickelt.
3. Teil: „Kein Grund zum Cloud-Computing-Verzicht“
Kein Grund zum Cloud-Computing-Verzicht
Auch verantwortungsvolle CIOs müssen auf den Einsatz von Cloud-Computing keinesfalls verzichten – wenn sie ihn überlegt angehen und sich aller Implikationen bewusst sind. Vor allem Unternehmen, die im Zusammenhang mit der Benutzung eines Cloud-Services Datensammlungen oder geschäftskritische Anwendungen in die Cloud auslagern wollen, sollten die geplanten Dienstleistungen im Vorfeld genau prüfen.
Sicherheits-Tipps
Mail-Account gehackt? Was kann ich tun?
E-Mail-Konten sind tagtäglich eine Zielscheibe von Hackerangriffen. Erst einmal geknackt, kann ein Krimineller mit Ihrem E-Mail-Konto viel Schaden anrichten. Wir verraten Ihnen, was Sie in diesem Fall unternehmen können.
>>
SIP-Trunk
Herweck und Xelion vertiefen Kooperation
Schon seit längerer Zeit vermarktet Herweck die Cloud-PBX von Xelion. Nun bietet der Distributor dazu auch seinen eigenen SIP-Trunk Calamar an.
>>
Open Access
Plusnet und Deutsche Giganetz kooperieren
Die Deutsche Giganetz GmbH schließt sich der Open Access Plattform von Plusnet an. Durch die Kooperation kann Plusnet auf 500.000 Glasfaseranschlüsse in elf Bundesländern zugreifen.
>>
ServiceNow
Die generative KI von Now Assist bekommt ein Gesicht
ServiceNow hat auf seiner Kunden- und Partnerkonferenz Knowledge 2024 in Las Vegas den Ausbau der Partnerschaften mit NVIDIA und Microsoft bekannt gegeben. Künftig sollen KI-Avatare für individuellere Mitarbeiter- und Kundenerlebnisse sorgen.
>>