Fünf Mindestsanforderungen an die Sicherheit von Cloud-Software

Wenn es derzeit einen beständigen Trend in der IT gibt, dann heißt dieser Cloud Computing. Vermehrt wird zu Cloud-Konferenzen eingeladen, Analysten veröffentlichen Cloud-Prognosen, Verbände vergeben Cloud-Auszeichnungen – im IT-Business ist das Buzzword in aller Munde. Dass sich der Trend inzwischen auch den Weg aus den einschlägigen Fachmedien hinein in die Realität gebahnt hat, zeigt eine aktuelle IDC-Studie. So planen zwei Drittel der befragten mittelständischen Unternehmen Cloud Services kurz- bzw. mittelfristig zu nutzen. Der Trend ist offenbar in der Praxis angekommen.

Darauf reagiert der Markt: Die Zahl der Cloud-Anbieter wächst. Auch kaufmännische Software, zum Beispiel für die Rechnungserstellung oder das Kundenmanagement, wird vermehrt als Software-as-a-Service in der Cloud angeboten. Gerade für Selbstständige, Freiberufler und kleine Unternehmen klingen die Cloud-Vorteile – Ortsunabhängigkeit, Kostenreduktion und Skalierbarkeit – verlockend. Doch wer Cloud-Software nutzen möchte, darf auch die Aspekte Sicherheit und Zuverlässigkeit nicht aus den Augen verlieren. Michael Rosbach, Vorstand der Scopevisio AG, über Mindestanforderungen, die seriöse Anbieter erfüllen sollten.

Dipl.-Betriebsw. Michael Rosbach, MBA, Vorstand der Scopevisio AG, war nach seinem Studium in Koblenz und Birmingham mehrere Jahre bei KPMG als Unternehmensberater tätig, bevor er in den Vorstand des Software-Herstellers GWI AG berufen wurde. Gemeinsam mit Gleichgesinnten in Sachen Unternehmenssoftware gründete er 2008 Scopevisio.

Ort der Datenspeicherung

Der Begriff Cloud suggeriert, dass Daten irgendwo "in der Wolke" gespeichert werden. Tatsächlich sollte der Cloud-Anbieter jedoch präzise benennen können, an welchen Orten er Daten und Anwendungen speichert und verarbeitet. Idealerweise sind diese Standorte in der EU, besser noch in Deutschland, zu finden. Der Grund: Wenn personenbezogende Daten – etwa in einem CRM-System – gespeichert werden, wird der Anbieter rechtlich gesehen als Auftragsdatenverarbeiter für den Kunden tätig. Auftragsdatenverarbeitung setzt jedoch voraus, dass Daten nur in Rechenzentren innerhalb des Europäischen Wirtschaftsraums verarbeitet werden.

Verschlüsselung

Anders als Lösungen, die im internen Firmennetzwerk betrieben werden, sind Cloud-Anwendungen jederzeit und von jedem Ort aus über das Internet erreichbar – und somit auch angreifbar. Deshalb ist es wichtig, dass jegliche Kommunikation zwischen Computer und Rechenzentrum verschlüsselt wird. HTTPS ist ein Standard, den auch Banken und Versicherungen dafür nutzen.

Datensicherheit

Der Cloud-Anbieter muss darlegen können, wie seine Sicherheitsarchitektur konzipiert ist. Es handelt sich dabei um ein recht umfangreiches Thema, das aus verschiedenen Blickwinkeln betrachtet werden kann und Aspekte wie Netzsicherheit, Virtualisierung sowie Anwendungs- und Plattformsicherheit umfasst. Im Zusammenhang mit der Sicherheitsarchitektur ist auch das Rechenzentrum von Interesse: Sind alle wichtigen Versorgungssysteme redundant ausgelegt? Wie wird der Zutritt überwacht und protokolliert? Darüber hinaus sollte die Netzsicherheit ein Thema sein: Welche Sicherheitsmaßnahmen werden gegen netzbasierte Angriffe getroffen? Ein weiterer wichtiger Aspekt ist die Datensicherung: Wie oft finden Backups statt? Werden die Daten gesetzeskonform archiviert? Bei der Anwendungssicherheit ist insbesondere das Thema "Multi Tenancy" (Mehrmandantenfähigkeit) von Interesse. Die Kosteneinsparungen, die aus dem Cloud-Modell resultieren, gehen hauptsächlich darauf zurück, dass Server im Cloud-Computing-Umfeld in der Regel multi-tenant betrieben werden. Multi Tenancy bedeutet, dass mehrere Kunden gemeinsam eine Software nutzen, die vom Cloud-Anbieter bereitgestellt wird. Der Anbieter muss darlegen können, wie er sicherstellt, dass er Daten von einem Kunden gegenüber dem anderen so abschottet, das niemand Zugriff auf fremde Daten hat.

Datenschutz

Wenn der Cloud-Anbieter personenbezogene Angaben speichert oder verarbeitet, muss er den Datenschutz nach deutschem Recht gewährleisten. Darüber hinaus sollte der Anwender prüfen, inwieweit Datenschutzrichtlinien und -gesetze, denen er selber unterliegt, vom Cloud-Anbieter eingehalten werden können (Compliance).

Zugriff auf eigene Daten

Die Software des Cloud-Anbieters sollte es dem Anwender ermöglichen, seine Daten auch wieder zu exportieren. Daten sollten deshalb grundsätzlich in einem anbieterunabhängigen Format gespeichert oder aber in ein solches umgewandelt werden können. Nur so hat der Nutzer jederzeit die Möglichkeit, zu einem anderen Anbieter zu wechseln oder aber im Falle einer Insolvenz des Anbieters an seine Daten zu gelangen.

Auf der sicheren Seite

Wenn ein Cloud-Anbieter zu oben genannten Punkten in ausreichender Form Stellung beziehen kann, ist eine hohe Sicherheit für den Anwender gegeben, die in der Regel sogar höher ist, als bei Nutzung traditioneller Desktop-Anwendungen. In der Regel werden diese Punkte in den AGBs oder aber in zusätzlichen Service Level Agreements (SLAs) geregelt. Gerade bei Cloud-Anwendungen empfiehlt es sich also, dass Kleingedruckte genau zu lesen. Wer sich noch eingehender mit dem Thema beschäftigen will, dem sei das aktuelle Eckpunktepapier des Bundesamtes für Informationssicherheit "Sicherheitsanforderungen für Cloud Computing Anbieter" empfohlen. (Marzena Sicking) / (map)
(masi)