Cloud Computing ist nicht mehr aufzuhalten. Die Analysten der Experton Group prognostizieren dem Cloud-Computing-Markt weltweit bis 2015 ein Wachstum von über 40 Prozent. Deshalb ist es nicht verwunderlich, dass immer mehr Anbieter und Berater auf den Zug aufspringen und das Thema in den Führungsetagen heiß diskutiert wird. Allerdings scheinen mittelständische Unternehmen in Deutschland für Cloud Computing noch nicht besonders empfänglich zu sein. Die Marktforscher von Kelton Research begründen diese Zurückhaltung damit, dass rund 63 Prozent der IT-Entscheider immer noch Sicherheitsbedenken gegenüber der Cloud hegen.
Cloud-Computing-Strategie spart Geld
Dabei lässt der deutsche Mittelstand jedoch außer Acht, dass auf Grundlage einer gut geplanten Cloud-Computing-Strategie die Sicherheit eines mittelständischen Unternehmens sogar deutlich erhöht werden kann. Die Betriebe haben nämlich die Möglichkeit, kostengünstig, nach Bedarf und abgerechnet nach dem Verbrauch moderne Sicherheitstechnologien und -verfahren einzusetzen, ohne die dafür benötigte Infrastruktur vorhalten zu müssen.
Ein Beispiel dafür sind Authentifizierungssysteme. Damit wird sichergestellt, dass nur befugte Personen Zugriff auf die Systeme eines Unternehmens erhalten. Ein Zugriffsversuch durch nicht autorisierte Personen wird darüber hinaus erkannt und protokolliert; gegebenenfalls werden Gegenmaßnahmen ergriffen.
Eine in Eigenregie betriebene Infrastruktur, die solche Leistungen bietet, ist sehr teuer und muss zudem aufwendig administriert werden. Für kleinere Firmen wären die Investitionen viel zu hoch. Hinzu kommt das Know-how für die Konfiguration und die Wartung des Systems. Ein darauf spezialisierter Cloud-Services-Anbieter, der nach Nutzung abrechnet, ist für diese Zielgruppe somit von Vorteil.
Aufmacherbild: Fotolia.com mipan
Security auf dem neuesten Stand
Positiv auf die Security des Unternehmens wirkt sich ferner aus, dass der Cloud-Computing-Anbieter in der Regel auf dem aktuellsten Stand der Sicherheitstechnik ist und deshalb ein Höchstmaß an Schutz gewährleistet. Neben der kryptografischen Sicherheit werden die Daten auch physikalisch beziehungsweise räumlich geschützt, indem beispielsweise die Datenspeicherung in mehreren, voneinander getrennten Rechenzentren stattfindet.
Cloud-Dienste decken Compliance ab
Hinzu kommen Faktoren wie beispielsweise die Compliance, deren Anforderungen mittelständische Betriebe oft nur mit Mühe einhalten können. Durch die Nutzung von Cloud-Services haben Unternehmen die Option, die meist unbequemen rechtlichen Vorschriften zu erfüllen, weil sie von den IT-Sicherheitsprozessen des Cloud-Computing-Anbieters abgedeckt werden.
Allerdings kann nicht die gesamte Verantwortung an den Cloud-Provider abgetreten werden. Jedes Unternehmen steht in der Pflicht, seine Hausaufgaben zu machen. Aber worauf muss es achten, wenn es um die eigene Sicherheit in der Cloud geht? Was sind die wesentlichen Anhaltspunkte zur Prüfung und Auswahl eines Cloud-Anbieters?
Sicherheitsmaßnahmen aus der Wolke
In erster Linie geht es um die Existenz geeigneter Sicherheitsmaßnahmen, die dem Schutz der Cloud selbst und somit auch dem der Kundendaten dienen. Dazu gehören Themen wie die Authentifikation, Identity-Management sowie die Verschlüsselung und Integrität der gespeicherten und übertragenen Daten. Weitere Punkte sind der Datenschutz sowie die Vertragsgestaltung zwischen Kunde und Provider, Anforderungen und Einhaltungen der Compliance sowie die grundsätzliche Struktur des Anbieters. Es existieren also viele technische und organisatorische Bereiche, die berücksichtigt werden müssen.
Zu den technischen Vorkehrungen gehören unter anderem die Datenverschlüsselungen innerhalb der Datenbanken, im Storage und während der gesamten Kommunikation (End-to-End-Verschlüsselung). Hinzu kommen der Einsatz einer Zwei-Faktor-Authentifizierung beispielsweise mithilfe von Smartcards oder Zertifikaten sowie die Nutzung digitaler Signaturen, um auf dieser Basis sämtliche Daten zu schützen.
Neben einem Rights-Mangement-System, das den Zugriff auf die gespeicherten Daten und Dokumente regelt, sollte ein Identity-Management vorhanden sein, mit dem Zugriffe auf die Daten geschützt und protokolliert werden. Wichtig sind darüber hinaus Service Level Agreements (SLA), womit die Dienstgüte der Cloud-Services definiert wird und die anhand von Kennzahlen gemessen werden.
Doch wie sollen Unternehmen ein Projekt aus der Cloud überhaupt angehen? Zunächst muss eine aussagekräftige Cloud-Computing-Strategie durch das Management erarbeitet werden. Aus dieser sollte klar hervorgehen, welche Unternehmensbereiche und -prozesse in die Cloud verlagert werden sollen und welche nicht. Darüber hinaus gilt es, das vorhandene Risikomanagement mit dem Thema Cloud Computing zu verknüpfen, um damit mögliche Risiken bei der Nutzung von Cloud-Services zu erkennen und präventive Maßnahmen zu ergreifen.
Projektverantwortung klar definieren
Ein besonders wichtiger Punkt sind die Verantwortlichkeiten. In die Cloud-Projektplanung müssen auch Sicherheits- und Datenschutzbeauftragte, Rechtsabteilungen, Betriebsräte sowie Fachabteilungen einbezogen werden. Die verschiedenen Planungsschritte auf dem Weg in die Cloud sowie die Verträge mit dem Anbieter, die Migration und der spätere Betrieb müssen gut und detailliert durchdacht und Verantwortlichkeiten und Zuständigkeiten klar zugeordnet werden.
Hier empfehlt es sich, einen "Cloud"-Verantwortlichen zu benennen, der für die Migration und den endgültigen Betrieb zuständig ist und eng mit dem Sicherheitsbeauftragten des Unternehmens zusammenarbeitet. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.