Immer mehr Firmen lagern Teile ihrer IT-Infrastruktur aus und greifen auf die Rechnerwolke zurück. Unternehmen wollen optimierte und flexiblere Geschäftsabläufe in einer abgesicherten Umgebung. Cloud-Computing wird zunehmend zu einem wichtigen Erfolgsfaktor für Fachbereiche. Wer Cloud-Computing nutzt, darf nicht auf Wolke sieben schweben und sich von augenscheinlich attraktiven Angeboten täuschen lassen: Denn die Sicherheit und der Datenschutz müssen gewährleistet sein. Unzählige Cloud-Angebote erschweren es, das richtige Produkt zu finden.
Unternehmensdaten sind der Goldschatz einer jeden Firma. Diese gibt man nicht leichtfertig aus der Hand. Daher sollten bei der Auswahl des Cloud-Anbieters folgende Punkte kritisch betrachtet und abgefragt werden:
• Wer ist mein Servicepartner?
• Wo werden meine Daten gespeichert?
• Ist die Qualität und Verfügbarkeit der Serviceerbringung geprüft und transparent?
• Kann der Anbieter Zertifizierungen vorweisen?
• Welche Authentifizierungsformen finden Verwendung?
• Werden die digitalen Identitäten tatsächlich geprüft, um sicher zu sein, mit wem man zusammenarbeitet?
• Was passiert mit meinen Daten? Ist nachvollziehbar, wer diese bearbeitet?
Vertrauen in den Service Partner
Vertrauen in einen x-beliebigen Cloud-Anbieter in einem x-beliebigen Land zu haben und nicht sicher zu sein, welche rechtlichen Grundlagen bei der Datenspeicherung Anwendung finden, ist schwierig. Das Wort "Briefkastenfirma" erscheint unbewusst vor dem geistigen Auge. Daher sollte darauf geachtet werden, dass der Cloud-Anbieter in Europa, idealerweise in Deutschland, sitzt, Verträge in deutscher Sprache, nach deutschem Recht mit Gerichtsstandort in Deutschland anbietet und auch eine Vereinbarung über Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz bei Bedarf zur Verfügung stellt. Erfolgt die Datenhaltung dann noch in Europa und bestehen vertraglich zugesicherte Service-Levels ist ein Unternehmen sicher in der Cloud unterwegs.
Gewissheit, wo die Daten sind
Die wesentliche Fragestellung im Bereich der Datensicherheit ist: Wo speichert der Cloud-Anbieter die Cloud-Daten der Kunden? Laut einer aktuellen IDC-Studie zum Thema "Mobile Content Management in Deutschland" legen über 60 Prozent der deutschen Unternehmen Wert darauf, dass die Cloud-Datencenter in Deutschland oder zumindest in Europa stehen (www.fabasoft.de/idc-mobile). Und das ist wichtig und gut. Denn nur so wird die regionale Versorgungssicherheit und Unabhängigkeit Europas gewährleistet und die Sicherheit erhöht. Die geschäftlichen Daten und Dokumente bleiben in Deutschland oder in einem Land der europäischen Union und unterliegen den deutschen bzw. europäischen Richtlinien für Datenschutz und Datensicherheit. Manche Cloud-Anbieter geben dem Kunden die Wahlfreiheit, wo der Speicherort der Daten liegen soll. Beachtung findet auch der Aspekt, dass die kaufmännische Sorgfaltspflicht eine sichere Cloud-Lokation im Sinne eines geeigneten Risikomanagements verlangt.
Ist die Service-Qualität geprüft?
Eine Überprüfung aller relevanten Standards für Sicherheit und Zuverlässigkeit sollte regelmäßig erfolgen. Einen seriösen Anbieter erkennt man unter anderem daran, dass dieser die Service Levels, geplante Wartungsarbeiten sowie Monitoring Berichte veröffentlicht. Ein weiteres Indiz für ein gutes Cloud-Service sind Zertifizierungen.
Zertifizierte Qualitätsstandards
Dabei weist ein Anbieter die Professionalität seines Rechenzentrumsbetriebs objektiv nach, beispielsweise durch Zertifizierungen wie ISO 27001, ISO 20000, ISAE 3402 Standard oder eine TÜV-Zertifizierung. Diese Zertifikate bestätigen die Informationssicherheit, die Qualität beim IT-Service-Management und dass es sich um ein sicheres, verlässliches und qualitativ hochwertiges Cloud-Service handelt. Das Zertifikat des TÜV Rheinland ist das Prüfsiegel mit den derzeit international umfangreichsten Anforderungen: Beginnend mit einem "Cloud-Readiness-Check" prüft der TÜV die Cloud auf ihre Tauglichkeit in punkto Sicherheit, Interoperabilität, Compliance und Datenschutz. Danach begutachtet er das Cloud-Design und die eigentliche Umsetzung genauso wie Themen der Architektur, Netzwerksicherheit oder Zugriffskontrollen. Nach erfolgreichem Abschluss dieser Prüfung erhält ein Anbieter das Zertifikat "Certified Cloud-Service".
Exakt definierte Zugriffsrechte und -sicherheit
In Europa ist der Schutz der Daten in der Cloud ein zentrales Grundbedürfnis. Das betrifft besonders den geschützten Zugang zu Cloud-Daten (Login). Eine Zwei-Faktor-Authentifizierung (neben Login-Name und Passwort benötigt man eine per SMS zugestellte PIN oder man nutzt für die Anmeldung eine "Digitale Identität" wie die eID-Funktion des neuen Personalausweises) sorgt dabei für noch höhere Sicherheit bei der Anmeldung. Zusätzlich zur besonders sicheren Zwei-Faktor-Authentifizierung erlaubt die Verknüpfung des Cloud-Accounts mit dem bestehenden Active Directory-Account eine sichere und einfach zu verwaltende Integration in die IT-Sicherheitsinfrastrukturen von Unternehmen.
Sichere Zusammenarbeit
In Zeiten von digitalen Identitäten muss im Business gewährleistet sein, dass man mit realen Personen zusammenarbeitet. Mit der Nutzung von digitalen Identitäten, wie der eID-Funktion des neuen Personalausweises schaffen Unternehmen die Gewissheit, dass Geschäftspartner in der Cloud nicht mit gefälschten Identitäten zusammenarbeiten. Die derzeit höchste Sicherheit erreichen Unternehmen mit der Anmeldung über die digitale Identität. So haben diese in der Cloud immer die Gewissheit, dass Sie mit staatlich verifizierten Identitäten zusammenarbeiten.
Gewissheit, was mit den Daten passiert
Grundsätzlich sollten Unternehmen abwägen, welche Daten sie in der Cloud lagern. Geht ein Unternehmen mit der Datenhaltung in der Cloud sensibel um und beachtet Empfehlungen zu Datenspeicherung, Collaboration und Zugriffsrechten, kann es die Effizienz deutlich steigern. Um B2B Collaboration noch sicherer zu machen muss ein Cloud-Anbieter Compliance-Anforderungen umsetzen. Idealerweise bietet er auch eine Versionierung von Dokumenten an, um Änderungen nachvollziehbar machen zu können. Dynamische Wasserzeichen sind ebenfalls ein nützliches Tool, um Daten zu schützen. Druckt oder legt ein autorisierter Nutzer eine Kopie Ihrer Inhalte auf der lokalen Festplatte ab, sind diese noch immer durch ein Wasserzeichen gekennzeichnet.
Fazit:
Die Umsetzung dieser sieben Punkte ist ein sehr guter Ansatz für sicheres Cloud-Computing. Dennoch sind Anbieter auf rechtliche Rahmenbedingungen angewiesen. Die Europäische Union arbeitet im Rahmen ihrer Cloud-Strategie mit Hochdruck daran, den Wirtschaftsstandort Europa für Cloud-Computing noch attraktiver und sicherer zu machen. (hal)