IT-Systemmanagement in die Cloud verlagern

Cloud-basiertes IT-Systemmanagement als Alternative zu Inhouse-Lösung

Seite: 3/4

Firmen zum Thema

Checkliste: Anforderungen an einen Cloud-Service-Provider

Das Auslagern des IT-Systemmanagements an einen externen Cloud-Service-Provider wirft allerdings Fragen in Bezug auf das Risikomanagement, den Datenschutz und die Datensicherheit auf. Ein Faktor, den Anwender häufig übersehen: Auch wer einen Cloud-Computing-Service nutzt, ist für die Sicherheit "seiner" Geschäftsdaten verantwortlich, nicht der Service-Provider.

Dies ist in Gesetzen und Compliance-Regeln festgelegt, etwa dem Bundesdatenschutzgesetz (BDSG), dem Sarbanes-Oxley Act (SOX), EuroSOX, dem Gramm-Leach-Bliley Act (GLBA) für Finanzdienstleister sowie Basel II. Das heißt: Bei der Auswahl des Service-Providers, der das IT-Systemmanagement übernimmt oder weitere Cloud-Services bereitstellt, ist besondere Sorgfalt angesagt.

Wer solche Dienste nutzen möchte, sollte vor allem auf folgende Punkte achten:

Sicherheitszertifikate: Ist der Provider zertifiziert, etwa gemäß ISO 27001, und sichert er seinen Kunden eine Einhaltung dieser Sicherheitsstandard vertraglich zu? Ein wichtiger Aspekt in diesem Zusammenhang: Der Service-Anbieter sollte diese Zertifikate regelmäßig erneuern.

Audits: Lässt der der Service-Anbieter regelmäßig Audits durch unabhängige Fachleute durchführen?

Verfügbarkeit und Notfallplanung: Wie ist es um Notfallpläne, die regelmäßige Schulung der Mitarbeiter des Providers und Sicherheitsmaßnahmen wie Ausfallrechenzentren und Disaster-Recovery-Maßnahmen bestellt? Seriöse Anbieter wie Kaseya garantieren eine Verfügbarkeit der Services von 99,9 Prozent und mehr.

Unterstützung branchenspezifischer Vorgaben: Unterstützt die IT-Systemmanagement-Lösung, die der Provider anbietet, branchenspezifische Compliance-Regeln und kann der Service-Provider deren Einhaltung vertraglich zusichern? Die IT-Center-Lösung von Kaseya ist beispielsweise gemäß den Vorgaben des Payment Card Industry Data Security Standard (PCI DSS) und SAS 70 Type II zertifiziert. Dies ist für Nutzer von Cloud-Services wichtig, die den Vorgaben von SOX oder des Health Insurance Portability and Accountability Act (HIPAA) unterliegen.

Rechtsraum: In welchem Land hat der Service-Provider seinen Hauptsitz beziehungsweise wo unterhält er seine Rechenzentren? Dies ist wichtig, weil in Deutschland und innerhalb der EU strengere Datenschutzbestimmungen gelten als in anderen Ländern. Wer die Dienste eines Service-Providers nutzt, der nicht dem EU-Recht unterliegt, handelt sich somit unter Umständen Probleme ein.

Hilfe bei der Implementierung: Bieten der Cloud-Service-Provider und der Anbieter der IT-Systemmanagement-Lösung Unterstützung bei der Implementierung der Lösung? Der Service-Provider sollte beispielsweise auf Wunsch eine detaillierte Analyse der IT-Umgebung des Anwenders durchführen und seine Dienstleistungen auf die speziellen Anforderungen des Kunden abstimmen können. Viele kleine und mittelständische Unternehmen benötigen zudem Hilfe bei der Integration ihrer IT-Systemumgebung in die Systemmanagement-Umgebung des Service-Providers.

(ID:34329250)