Welche Reaktion würde die Aussage des Gegenübers “Die Cloud ist so sicher, man braucht seine Daten nirgendwo anders zu sichern.“ bei einem selbst hervorrufen? Ich hoffe, dass die Reaktion sinnbildlich irgendwo zwischen dem Kopfneigen von Nipper und dem Auftritt des “Dramatic Chipmunk“ liegt.

In Wahrheit ist Cloud Computing nicht das magische Schwert, dem man großzügig die Sicherung der eigenen Daten überlässt. Es ist recht bezeichnend, dass das englische Adjektiv “cloudy“ ins Deutsche mit “diffus“, “finster“ oder “unverständlich“ übersetzt werden kann. Cloud Dienste sind auch oft das, was man ihnen attribuiert. Letztendlich sollte man mindestens das gleichwertige Maß an Strenge gegenüber des Cloud Computing Dienstleisters walten lassen, wie zu Hause gegenüber sich selbst.

Weil Risiken und Verantwortlichkeiten oft nicht ganz klar sind, lohnt sich das beharrliche Nachfragen bei den Cloud Dienstleistern, welche Mechanismen die Sicherheit ihres Services garantieren. Bei der Auswahl eines neuen Anbieters sollten die Sicherheitsrichtlinien und -verfahren gründlich überprüft werden. Darüber hinaus ist es eine gute Idee, wenn Unternehmen und Cloud Dienstleister sich über die jeweiligen Verantwortlichkeiten bewusst sind und welche zusätzlichen Sicherheitsmaßnahmen im Unternehmen trotzdem noch getroffen werden sollten.

Cloud security policy - Question marks shown in 3D

 

Wichtige Fragen an die Sicherheitsrichtlinien der Cloud Security

Bevor man sich einem Cloud Dienstleister nähert, sind einige Antworten auf Fragen über die Bedürfnisse des eigenen Unternehmens zu klären:

  • Welche Arten von Cloud-Services werden voraussichtlich verwendet?
  • Wird die Cloud genutzt, um Dateien zu speichern, Software-Anwendungen oder Virtuelle Maschinen zu hosten?
  • Wie wird die Dienstleistung eingesetzt?

Eine Cloud kann öffentlich, privat oder “irgendwo dazwischen“ eingesetzt werden, je nach spezifischen Bedürfnissen und Risikotoleranz.

  • Wie sensibel sind die Anwendungen oder Daten, die gehostet werden sollen?

Merke: Eine Cloud ist ein Server, der jemand anderem gehört. Unternehmen, die auf Cloud Computing setzen, sollten das Ausfallrisiko quantifizieren, wenn es beim Cloud Dienstleister zu einer Sicherheitslücke kommt, oder er aus dem Markt scheidet.

  • Wer bekommt Zugriff auf die Cloud?

Die Zugriffsrechte sind mit der Prämisse „so wenig wie möglich, so viel wie nötig“ in Einklang zu bringen. Nicht alle User benötigen darüber hinaus Zugang zur Cloud, um die Arbeit effektiv zu gestalten.

  • Welche gesetzlichen oder behördlichen Einhaltungspflichten müssen beachtet werden?

Für jede Branche gelten teilweise andere nationale und internationale Datenschutzbestimmungen. Regularien, die einem Einzelhandelsgeschäft genügen, reichen beispielsweise bei Rechts- oder Finanzdienstleistungsgeschäften noch lange nicht.

Training und Aufklärung sind entscheidend für die Befolgung bewährter Praktiken. Das gilt auch für die Cloud-Nutzung, damit User wissen, was sicheres Verhalten bedeutet.

  • Welche Folgen resultieren aus der Nichtbeachtung der bewährten Leitlinien?

Hier werden Cloud Dienstleister und die Angestellten eines Unternehmens in die Pflicht genommen. Konsequenzen für die ersteren werden wahrscheinlich aus den Produktverhandlungen oder dem Service Level Agreement resultieren. Jeder sollte sich über die Folgen der Vernachlässigung der zu schützenden Daten im Klaren sein.

Cloud security policy - several clouds with secure padlock on them

Cloud Security Verfahrensweise

Sobald die Ziele und Rahmenbedingungen für das Cloud Computing verdeutlicht sind, kann dazu übergegangen werden, den Cloud-Anbieter über verschiedene Verfahrensweisen zu befragen. Die Golf-Kooperationsrat eGovernment-Website hält ein Dokument parat, in dem Cloud Computing Richtlinien diskutiert werden, die eine umfassende Liste an Fragen im Anhang A beinhaltet. Diese Liste hält für diejenigen Personen hilfreiche Anregungen bereit, die sich selbst noch Gedanken über die Cloud Security Verfahrensweise machen möchten. Hier ist eine Aufzählung möglicher Themen, die berücksichtigt werden sollten:

  • Führt der Cloud-Anbieter regelmäßige Sicherheitskontrollen bei Dritten durch?
  • Welche Richtlinien gelten bei Updates und Patches?
  • Besitzt der Cloud-Anbieter Anti-Malware oder Intrusion Detection Produkte und scannt seine Maschinen?
  • Welche Authentifizierungsmethoden bietet der Cloud Dienstleister an?
  • Welche Kontrollen stehen für Identity und Access Management der Benutzerkonten zur Verfügung?
  • Ist die Übertragung von und zur Cloud verschlüsselt?
  • Inwieweit wird geistiges Eigentum auf den Servern der Cloud Dienstleister geschützt?
  • Welche Arten der Alarmierung und Berichterstattung stehen mir als zukünftiger Cloud-Kunde zur Verfügung?
  • Wie werden die Ressourcen der Kunden untereinander gegliedert?
  • Wie oft werden Backups erstellt und getestet, und wie werden diese gespeichert?
  • Gibt es eine etablierte Reaktionspolitik für Sicherheitsverletzungen?
  • Gibt es eine öffentliche verantwortliche Offenlegungspolitik?
  • Gibt es eine Ereignisprotokollierung, die im Falle eines Sicherheitsvorfalls eine forensische Analyse ermöglichen würde?
  • Was ist der physische Standort der Server? In welchem Land stehen sie?
  • Was sind die Richtlinien zur Datenmobilität und -aufbewahrung?
  • Welche Optionen stehen für sichere Datenlöschung oder -zerstörung zur Verfügung?

Cloud Computing muss nicht undurchsichtig und unbehaglich sein. Wer sich richtig informiert, kann Informationsasymmetrien in Bezug auf Cloud Security abbauen. Die Möglichkeit, auf Daten von überall auf der Welt aus zugreifen zu können, ist großartig. Unternehmen müssen abwägen, ob die Risiken der Auslagerung von Dateien in Kauf genommen werden können, um beispielsweise die Gesamtproduktivität mit einem Partner zu verbessern.