Cloud für Unternehmen: Der sichere Weg in die Cloud (3/4)
Die richtige Vorbereitung und systematische Planung sind die Schlüssel zu erfolgreichen Cloud-Projekten, die die Sicherheit nicht vernachlässigen.
- Inés Atug
- Manuel Atug
Die Autoren dieser Serie zu "Cloud für Unternehmen" begleiten und analysieren seit vielen Jahren Cloud-Projekte. Im ersten Teil erklärten sie die typischen Fehler und wie man diese vermeidet, der zweite illustrierte typische Angriffe auf die Cloud. Der aktuelle Teil zeigt Ihnen, wie Sie ihr Cloud-Projekt sicher auf den Weg bringen.
Die Autoren bereiten den Inhalt der kompletten Serie auch gezielt für Administratoren, IT- und Datenschutzverantwortliche in einem heise-Security-Webinar auf: In die Cloud – aber sicher
Egal was man von der Cloud hält – kein Unternehmen kann es sich mehr leisten, das Thema einfach nur zu ignorieren. Denn das führt zwangsläufig zu Wildwuchs und Chaos. Jedes Unternehmen sollte eine Strategie definieren, die globale Richtlinien vorgibt, wozu und wie man die Cloud nutzen will. Denn was nicht geregelt wird, regelt sich selbst und das führt unweigerlich zu Chaos und Sicherheitsproblemen.
Dabei sollte nicht etwa die Geschäftsführung im stillen Kämmerlein mit der IT-Leitung eine Cloud-Strategie aushecken. Das Thema Cloud berührt alle Bereiche. Also sollten an der Entwicklung einer Cloud-Strategie unter anderem auch die Bereiche Einkauf, Personal, Informationssicherheit und Datenschutz mitwirken. Weitere Mitwirkende können beispielsweise aus Finanzen oder den Fachabteilungen kommen.
Eine der bekanntesten Cloud-Strategien ist "Cloud First". Bei dieser Strategie werden bei Neuanschaffungen zuerst Cloud-Dienste betrachtet. Erst wenn die Realisierung in der Cloud ausscheidet wird diese in der lokalen Umgebung umgesetzt. "Cloud First" setzt Prioritäten, bedeutet aber keineswegs "Immer Cloud".
Eine weitere Cloud-Strategie lautet "SaaS First". Dies ist eine von "Cloud-First" abgewandelte Strategie und besagt, dass Software-as-a-Service-Angebote gegenüber lokal betriebenen Anwendungen bevorzugt werden. Die weiteren Ausführungen sind Ihnen hoffentlich dabei behilflich, Ihre eigene Cloud-Strategie zu formulieren.
Das Thema Sicherheit spielt dabei von Beginn an eine tragende Rolle. Damit sich das nicht in abstrakten Lippenbekenntnissen verliert, empfiehlt es sich, frühzeitig eine Konkretisierung der Sicherheitsanforderungen vorzunehmen. Dazu analysiert man beispielsweise einen einzuführenden Cloud-Dienst zunächst grob und leitet daraus Rahmenbedingungen für den sicheren Einsatz ab. Das kann dann etwa die Verwendung von globalen Sicherheitsregeln zur Herstellung eines Mindestsicherheitsstandards in der Cloud sein. Oder eine Festlegung des Gerichtsstandorts auf Deutschland.
Wichtig ist es, dabei zwischen den Anforderungen an den Cloud-Provider und an das eigene Unternehmen zu unterscheiden. Wie das aussehen kann zeigt exemplarisch diese Tabelle:
| Anforderungen an den Cloud-Provider | Anforderungen an die eigene Cloud-Nutzung |
| Muss Mechanismen für Datenrückgabe bereitstellen und dokumentieren. | Sorgt für vertragliche Regelung der Rückgabe von Daten und ggfs. Applikationen innerhalb eines festgelegten Zeitraums. |
|
Gerichtsbarkeit in Deutschland sollte wenn möglich vereinbart werden. |
Administratoren, Entwickler und Benutzer sollten zielgruppenorientiert zu Cloud-Computing und Cloud-Security geschult werden. |
| Sicherheitsnachweise unabhängiger Dritter, die durch den Cloud-Provider bereitgestellt werden sollten (z.B. ISO/IEC 27001, BSI C5 …) | Die Beschreibung des Cloud-Dienstes ist mit der eigenen Leistungsbeschreibung abzugleichen. Unklarheiten sind zu prüfen und ggf. zu klären. |
| Ort der Datenspeicherung und -verarbeitung sollte in Deutschland oder Europa sein. | Die Schnittstellen, die durch die Cloud-Nutzung entstehen, sind zu dokumentieren. |
Exit vor dem Start
Eine wichtige globale Richtlinie ist die Festlegung einer Exit-Strategie. Man sollte vor jedem Start eines Cloud-Projekts klären, welche Fallbacks und Ausstiegsszenarien man hat. So hat man es leichter, wenn nach dem Vertragsabschluss die ersten Tests oder die Pilotierungsphase zeigen, dass die Reaktionsgeschwindigkeit des Cloud-Providers nicht ausreicht. Oder wenn man schlicht ein günstigeres Angebot durch den Mitbewerber erhält. Auch können gesetzliche oder regulatorische Änderungen immer dazu führen, dass man einen Cloud-Dienst nicht weiter nutzen darf.
Bei einer unzureichenden Exit-Strategie drohen Datenverlust und hohen Kosten. Etwa wenn man seine Daten nicht oder nur mit hohem Aufwand aus der Cloud exportieren kann. Auch könnte es passieren, dass für den Datenexport eine zusätzliche Gebühr fällig wird, die man nicht bedacht hatte. Daher sollten die Möglichkeiten zur Beendigung des Vertrags noch vor Vertragsabschluss betrachtet und in einer Exit-Strategie dokumentiert werden.
