Teil 2: Die Umsetzung

Mit Sicherheit in die Cloud

18.07.2011 | Autor / Redakteur: Dr. Thomas Störtkuhl, Secaron AG / Andreas Bergler

Viele Unternehmen und Mitarbeiter stehen der Cloud noch skeptisch gegenüber.

Gerade für die Vorstandsetage erscheint Cloud Computing zunehmend attraktiv, da es Möglichkeiten bietet, kostengünstig und flexibel die Anforderungen des Geschäfts an die IT zu erfüllen. Diese Besonderheiten führen zu neuen Risiken, aber auch zu Chancen. IT-BUSINESS zeigt in einer dreiteiligen Serie, wie das Gefahrenpotenzial gemeistert werden kann.

Entsprechend der im ersten Teil beschriebenen Risiken (IT-BUSINESS 12 / 2011) müssen die Maßnahmen zum Schutz der Public Cloud und der Daten des Benutzers umgesetzt werden. Im Folgenden werden hierzu nicht die gängigen Maßnahmen wie etwa die Absicherung der Rechenzentren oder Einsatz von Firewalls diskutiert, sondern Maßnahmen, die geeignet sind, die aufgeführten Risiken zu reduzieren. Diese Maßnahmen betreffen vor allen Dingen die Bereiche Verschlüsselung und Integrität, Authentisierung, Identity Management, Vertragsgestaltung und Compliance (Datenschutz) und Organisation.

Zu den technischen und organisatorischen Maßnahmen zählen vertragliche Regelungen, die Themen wie Notfall, Datenschutz, Audit-Rechte und Vertragsbeendigung berücksichtigen. Ergänzend muss in Service Level Agreements festgeschrieben werden, mit welcher Güte (überprüfbar mit Kennzahlen) die Cloud Services zu erbringen sind.

Überblick

Bei den technischen Maßnahmen sind unter anderem folgende Aspekte zu berücksichtigen:

• die Verschlüsselung der Daten in Datenbanken und bei der Kommunikation (z.B. Ver- und Entschlüsselung von vertraulichen Daten nur am Client, zertifikatsbasierte XML Encryption zur Realisierung einer Ende-zu-Ende Verschlüsselung),
• der Einsatz digitaler Signaturen zum Schutz von Daten (XML-Signaturen),
• eine Zwei-Faktor-Authentisierung, zum Beispiel mit dem Einsatz von Smartcards und digitalen Zertifikaten,
• ein ausgereiftes Identity Management, das es erlaubt elektronische Identitäten gesichert zu transportieren (Federation),
• der Schutz von Dokumenten über Rights-Mangement-Systeme
• die Entwicklung von Sicherheitskonzepten, die den Notfall und die Migration in und aus der Cloud berücksichtigen.

Um notwendige Maßnahmen zu erkennen, zu koordinieren und umzusetzen, sollte ein definiertes Verfahren für die Migration in eine Public Cloud (Abbildung oben) durchlaufen werden. Dieses Vorgehen sollte mindestens folgende Aspekte beinhalten:

• Das Management hat eine Strategie entwickelt, in der insbesondere definiert ist, welche Geschäftsbereiche oder -prozesse in eine Public Cloud übergesiedelt werden oder nicht erlaubt werden können. Zudem wird erläutert, welche generellen Risiken abzusichern sind oder auf keinen Fall eingegangen werden dürfen.
• Das Vorgehen definiert klar die Phasen Planung, Vertrag, Migration und Betrieb sowie alle Verantwortlichkeiten.
• Verantwortliche wie Management, Rechtsabteilung, Betriebsrat, Datenschutz- und Sicherheitsbeauftragter sowie Fachabteilungen werden von Anfang an integriert.
• Für die Migration in die Public Cloud ist ein Sicherheitsbeauftragter benannt, der auch während des Betriebs der Cloud zuständig bleibt.

Weiter geht‘s mit der Planungs- und Vertragsphase auf der nächsten Seite.