Cloud Services sind in aller Munde, doch wie steht es um die Sicherheit dieser Dienste? Die Diskussion wird heute oftmals auf technologischer Ebene geführt, doch der wahre Schlüssel zum Erfolg liegt in den Aktivitäten rund um Risikoanalysen, Service Level Agreements und Provider Management. Dann lässt sich durch extern bezogene Cloud-Services mit vertretbarem Aufwand ein höheres Sicherheitsniveau als bei der Inhouse-Variante erzielen, meint Wolfram Funk, Senior Advisor bei der Experton Group.

Die Situation erscheint paradox: Grundsätzlich ermöglichen es externe Cloud Services der Mehrzahl der Kunden, die Sicherheit bestimmter Anwendungen und Dienste auf ein höheres Niveau als bislang zu heben. Da externe Cloud-Service-Provider ihre Dienste für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben.

Solide technische Maßnahmen zur Absicherung von Cloud-Services sind wichtig und bereits heute überwiegend einsetzbar. Noch wichtiger jedoch ist die Ausgestaltung der Beziehung zum Cloud-Dienstleister und den damit verknüpften Aktivitäten, die den Rahmen für die technologische Ausgestaltung prägen.

Risikoanalysen, Service Level Agreements und Provider-Management sind mit Blick auf Cloud Security der Schlüssel zum Erfolg, so die Ansicht des Marktforschers. Die ISO 2700x-Reihe, BSI IT-Grundschutz und ITIL geben hierfür einen geeigneten Rahmen vor.

Folgende zehn Regeln für eine hohe Sicherheit von extern bezogenen Cloud Services gibt nun die Experton Group vor:

1. Informationssicherheit intern aufsetzen

Zunächst die interne Organisationsstruktur des Kunden auf Vordermann bringen sowie Verantwortlichkeiten und Rollen für Informationssicherheit beim Kunen klären. Dies gilt auch für das Informationssicherheits-Management und die Steuerung (Governance) von Informationssicherheit.

2. Kunde bleibt verantwortlich

Die Verantwortung für Informations-Sicherheit insgesamt und für Koordination, Management und Qualitätskontrolle externer Dienstleister verbleibt immer beim Kunden - auch bei extern bezogenen Cloud Services.

3. Risiko-Analyse

Eine detaillierte Risiko-Analyse für die spezifischen Cloud Service, die extern bezogen wird, sowie die zur Debatte stehenden Informationen und Prozesse durchführen. Dies schließt Compliance-Risiken mit ein.

4. Jeden Fall einzeln prüfen

Ist der Business Case stimmig? Wirtschaftliche Aspekte, interne und kundenorientierte Prozessverbesserungen und weitere potenzielle Nutzeneffekte müssen den erwarteten (Rest-) Risiken gegenübergestellt werden.

5. Zusammenarbeit mit dem Kunden

Sicherheitsarchitektur: Arbeitsteilung und Schnittstellen zwischen dem Provider und dem Kunden detailliert festlegen. Sind die technischen und organisatorischen Sicherheitsmaßnahmen lückenlos?

6. Auf Details achten

Managed Service Provider sollte die Prozesse für Reporting, Incident Management und Audits mit ihrem Kunden ganz genau festschreiben.

7. Sublieferanten einbeziehen

Der Cloud-Dienstleister sollte die angeforderte Leistung auch tatsächlich erbringen können. Hier ist auch zu hinterfragen, ob er nicht notfalls Subunternehmer einsetzen sollte, die dann allerdings keinesfalls zu einer (negativ) veränderten Risikoexposition führen sollten.

8. Compliance-Anforderung in SLAs gießen

Die regulatorischen Anforderungen des Kunden an den Managed Service Provider sollten im Vorfeld geklärt und festgeschrieben sein, unter anderem im Hinblick auf den Umgang mit Daten und deren Speicherung in bestimmten Regionen.

9. Nur messbaren Kriterien in SLAs festschreiben

Für sicherheitsrelevante Kriterien sollen nur solche Service Level Agreements (SLAs) vereinbart werden, die gemessen werden können. Die vorgeschlagene Messmethode muss sorgfältig geprüft werden.

10. Exit-Bedingungen

Wenn der Kunde imVorfeld Exit-Bedingungen festlegt, ist ein Wechsel des Managed Service Provider vor Ablauf der Vertragszeit schwierig.

Wie aufwändig die Prozesse rund um Cloud-Security werden, hängt vom spezifischen Dienst ab. Tendenziell erlaubt es das SaaS-Modell (Software as a Service) am ehesten, mit überschaubarem Aufwand ein hohes Sicherheitsniveau zu erreichen. Bei SaaS ist die Schnittstelle zwischen Provider und Kunde in der Regel sehr gut beschrieben, da der Zugriff über einen Webbrowser erfolgt und für die Verschlüsselung der Übertragungsstrecke SSL/TLS als Standard gesetzt ist. Der Anbieter kümmert sich komplett um die Sicherheitsmaßnahmen in seiner Cloud-Infrastruktur. Allerdings sollte der Kunde im Vorfeld Fragen rund um Compliance, Reporting und Auditierung aus der SaaS-Anwendung heraus sowie Backup und e-Discovery klären. Außerdem müssen die Anforderungen an das Identitäts- und Zugriffsmanagement beim Kunden eingehend geprüft werden.

SaaS einfacher als PaaS & IaaS

Schwieriger wird es bei PaaS (Platform as a Service) oder gar IaaS (Infrastructure as a Service). Dort werden höhere Anforderungen an die detaillierte Festlegung der Arbeitsteilung zwischen Kunde und Anbieter gestellt, was das Thema Informationssicherheit angeht. Unternehmen, die wenig Erfahrung mit Outsourcing allgemein und speziell auch mit Blick auf den zur Debatte stehenden Service haben, sollten einen kompetenten Sourcing- und Sicherheitsberater hinzuziehen.

"Die Anbieter von Cloud Services müssen heute die Standards für Cloud Security aktiv mitgestalten und dafür sorgen, dass anbieterübergreifend ein hohes Sicherheitsniveau erreicht wird", fordert Wolfram Funk. "Sie sollten großes Augenmerk auf vertrauensbildende Maßnahmen bei den künftigen Kunden legen und vor allem mehr Transparenz in den Cloud-Service-Angeboten schaffen."

Wolfram Funk, Senior ist Advisor bei der Experton Group
Quelle: Channelpartner