Cloud-Risiken erkennen und eingrenzen

Prozesssicherheit

Eine weitere Komponente spielt bei der Sicherheit einer dezentralen Infrastruktur eine wichtige Rolle: die Prozesse, die Kommunikation und Austausch mit den Partnern regeln. Die IT Infrastructure Library (ITIL) hat sich in vielen Unternehmen zumindest als Richtlinie für den Betrieb der Infrastruktur etabliert. Umfragen zeigen jedoch, dass für Cloud-Services sehr selten Prozesse auf Basis von ITIL verwendet werden, obwohl doch die ITIL-Prozesse in der Theorie unabhängig von der verwendeten Technologie betrachtet werden.

Warum ist dies so? Zum einen ist sicher die heimliche Verwendung von Cloud-Services innerhalb des Unternehmens zu nennen, ohne dass die IT Abteilung davon überhaupt etwas weiß, Stichwort Schatten-IT. Fachabteilungen nutzen häufig Anwendungen wie DropBox oder Skype - aus Bequemlichkeit, denn sie sind schnell verfügbar und einfach in der Abrechnung. Hier sind Unternehmen gut beraten, ihren Fachabteilungen unternehmensinterne Systeme mit gleicher Verfügbarkeit und Nutzerfreundlichkeit zur Verfügung zu stellen. So können sie Risiken durch Schatten-IT vermeiden.

Ein zweiter Punkt ist, dass bei der Verwendung von Cloud-Diensten Unternehmensgrenzen überschritten und Technologien eingesetzt werden, welche deutlich von den bestehenden Unternehmenssystemen abweichen. In der Regel finden sich keine oder wenige brauchbare ITIL-kompatible Schnittstellen, über die Changes und Incidents übermittelt werden können. Zum anderen sind viele Changes in der Cloud durch automatisierte Deployments im Self-Service-Verfahren möglich - das ist ja gerade einer der wesentlichen Vorteile der Cloud. Die Prozess-Definitionen aus ITIL tun sich jedoch schwer, solche Szenarien eins zu eins abzubilden. Was nicht heißt, dass dies nicht möglich wäre. ITIL lässt sich auch flexibler interpretieren und an Cloud-Szenarien anpassen.

Fazit

Die Cloud wird in Zukunft durch Anwendungen wie Big Data oder Konzepte wie DevOps eine Enabler-Rolle einnehmen. Die Technologien zur Absicherung von Cloud-Anwendungen sind verfügbar und ohne große Komforteinbuße verwendbar. Der Anwender muss sie nur konsequent einsetzen.

Hierbei besteht teilweise noch Unsicherheit, ob Cloud-Sicherheit als Teil einer Cloud- oder einer Security-Strategie zu sehen ist. Beides ist letztlich richtig und sollte daher auch nicht getrennt voneinander betrachtet werden. Um Unternehmen generell die Angst vor Datenmissbrauch in der Cloud zu nehmen, bieten viele Provider bereits das Hosting in lokalen Rechenzentren in Deutschland an. Dann profitieren diese von den wesentlich strengeren Datenschutzbestimmungen in Deutschland im Vergleich zu anderen europäischen und nicht-europäischen Ländern. Unter Einhaltung der grundlegenden, beschriebenen Sicherheitsmaßnahmen können Unternehmen die Cloud also sicher nutzen, und von den positiven Eigenschaften wie Flexibilität, Skalierbarkeit und Kostentransparenz profitieren. (bw)