Neun Schritte in die Wolke
Checkliste: sicheres Cloud Computing
6. Transparenz und Notification
Das Outsourcing von Dienstleistungen ist automatisch verbunden mit dem Insourcing von Risiko. Sollte es beispielsweise zu einem Datenverlust kommen, muss der professionelle Cloud-Anbieter sicherstellen, dass der Datenherr unverzüglich informiert wird. Auch das Reporting kritischer Ereignisse gehört zu den Obliegenheitspflichten des Processors. Im Idealfall verfügt das vom Processor gewählte Hosting-Center über Melderoutinen, die wenige Stunden nach Bekanntwerden eines Zwischenfalls automatisch Bericht erstatten.
- IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten. - RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen. - RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren. - Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen. - NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.
7. Datentrennung
In der Vergangenheit führte das Outsourcing von unverschlüsselten Payroll-Daten in die Cloud dazu, dass ein Unternehmen Einblick in die Gehaltsdaten eines anderen Unternehmens bekam. Das darf nicht sein. Oft reicht schon eine Falschverschiebung oder die Nicht-Einhaltung einer Berechtigungsvorgabe, um mehr zu sehen als zulässig. Die Trennungskontrolle gilt als die wichtigste Voraussetzung für sicheres Arbeiten in der Cloud.