Checkliste
7 Tipps für Ihren sicheren Weg in die Cloud
Immer mehr Firmen lagern Teile ihrer IT-Infrastruktur aus und greifen auf die Rechnerwolke zurück. Unternehmen wollen optimierte und flexiblere Geschäftsabläufe in einer abgesicherten Umgebung. Cloud-Computing wird zunehmend zu einem wichtigen Erfolgsfaktor für Fachbereiche. Wer Cloud-Computing nutzt, darf nicht auf Wolke sieben schweben und sich von augenscheinlich attraktiven Angeboten täuschen lassen: Denn die Sicherheit und der DatenschutzDatenschutz müssen gewährleistet sein. Unzählige Cloud-Angebote erschweren es, das richtige Produkt zu finden. Alles zu Datenschutz auf CIO.de
Unternehmensdaten sind der Goldschatz einer jeden Firma. Diese gibt man nicht leichtfertig aus der Hand. Daher sollten bei der Auswahl des Cloud-Anbieters folgende Punkte kritisch betrachtet und abgefragt werden:
• Wer ist mein Servicepartner?
• Wo werden meine Daten gespeichert?
• Ist die Qualität und Verfügbarkeit der Serviceerbringung geprüft und transparent?
• Kann der Anbieter Zertifizierungen vorweisen?
• Welche Authentifizierungsformen finden Verwendung?
• Werden die digitalen Identitäten tatsächlich geprüft, um sicher zu sein, mit wem man zusammenarbeitet?
• Was passiert mit meinen Daten? Ist nachvollziehbar, wer diese bearbeitet?
- Wie sich IT-Sicherheit und Cloud Security unterscheiden
Datenverluste und das Kompromittieren von unternehmenskritischen Informationen sind in traditionellen IT-Infrastrukturen und Cloud-Computing-Umgebungen auf unterschiedliche Faktoren zurückzuführen, so die IT-Firmen Symantec und Intel. In Unternehmensnetzen sind dafür drei Faktoren verantwortlich: - Wohlmeinende Mitarbeiter:
Sie verzichten fahrlässig auf das Verschlüsseln von wichtigen Daten oder nehmen Geschäftsinformationen auf USB-Sticks oder privaten Mobilgeräten mit nach Hause. Weitere potenzielle Gefahren durch solche Mitarbeiter: der Verlust von Mobilsystemen wie Notebooks oder die Weitergabe von Account-Daten an Kollegen. - Böswillige Mitarbeiter:
Sie verschaffen sich gezielt Zugang zu Geschäftsdaten, um diese zu verkaufen oder für persönliche Zwecke zu missbrauchen. Ein typisches Beispiel: Ein Mitarbeiter kopiert vor dem Wechsel zu einem Konkurrenten Kundendaten, Preislisten oder Projektunterlagen. - Cyber-Kriminelle:
Sie verschaffen sich meist über ungenügend abgesicherte Endgeräte wie PCs, Notebooks und Smartphones Zugang zum Firmennetz und kopieren verwertbare Informationen. - Spezielle Risiken für Cloud Security:
In Cloud-Computing-Umgebungen kommen zu den genannten potenziellen Risiken weitere hinzu. Dazu zählt die Nutzung von Cloud-Services ohne Wissen der IT-Abteilung. Dies können Online-Storage-Dienste wie Dropbox sein, aber auch CRM-Angebote wie Salesforce. Das „Aussperren“ der IT-Fachleute torpediert eine unternehmensweite IT- und Cloud-Security- Strategie. - Spezielle Risiken für Cloud Security:
Ein weiterer Faktor ist das verteilte Speichern unternehmenskritischer Daten: Sie lagern teilweise auf IT-Systemen im Unternehmensnetz, teils auf denen des Cloud-Computing-Service- Providers. Dies erschwert es, den Zugriff auf diese Informationen zu reglementieren und ihren Schutz sicherzustellen. - Spezielle Risiken für Cloud Security:
Ein dritter Punkt: Cyber-Kriminellen und „böswilligen Insidern“ stehen mehr Angriffspunkte zur Verfügung: das Unternehmensnetz, die Cloud-Computing-Umgebung des Providers und die Kommunikationswege zwischen Kunde und Cloud-Service-Provider.
Vertrauen in den Service Partner
Vertrauen in einen x-beliebigen Cloud-Anbieter in einem x-beliebigen Land zu haben und nicht sicher zu sein, welche rechtlichen Grundlagen bei der Datenspeicherung Anwendung finden, ist schwierig. Das Wort "Briefkastenfirma" erscheint unbewusst vor dem geistigen Auge. Daher sollte darauf geachtet werden, dass der Cloud-Anbieter in Europa, idealerweise in Deutschland, sitzt, Verträge in deutscher Sprache, nach deutschem Recht mit Gerichtsstandort in Deutschland anbietet und auch eine Vereinbarung über Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz bei Bedarf zur Verfügung stellt. Erfolgt die Datenhaltung dann noch in Europa und bestehen vertraglich zugesicherte Service-Levels ist ein Unternehmen sicher in der Cloud unterwegs.