In sechs Schritten zu mehr Cloud-Security

Auf Sicherheitszertifikate achten

Dem zunehmenden Bewusstsein der Kunden für die Sicherheit von Business-Software begegnen Softwareanbieter damit, dass sie ihre Produkte verstärkt auf Sicherheitslücken testen lassen. Anwender sollten deshalb auf Sicherheitsevaluierungen achten, wie sie zum Beispiel Spezialisten für Sicherheitstests - beispielsweise das Unternehmen Veracode - ausstellen, oder ihre Software durch Dritte prüfen lassen.

Business-Software unter die Lupe nehmen

Wenn Softwareanbieter trotz Zertifizierung Sicherheitsversprechen nicht halten, können sie haftbar gemacht werden. Ist der Anbieter aber nicht identifizierbar, wie etwa bei Open-Source-Komponenten, trägt der Anwender das Risiko, da er die Software eigenverantwortlich eingesetzt hat. Diese Problematik ist akut, da Business-Software-Architekturen nicht mehr von Grund auf neu und aus einem Guss geschrieben und aufgesetzt werden. Architekturen bestehen aus verschiedenen Komponenten, die von den unterschiedlichsten Anbietern entwickelt wurden beziehungsweise Open-Source-Module enthalten. Eine Bewertung dieser Gefahr lässt sich mithilfe öffentlicher Datenbanken bewerkstelligen, in denen die Risiken von Open-Source-Komponenten aufgelistet sind.

Daten nach Relevanz trennen

Grundsätzlich sollten sich Unternehmen Gedanken machen, welche Daten und Anwendungen sinnvollerweise in die Cloud ausgelagert werden können und welche besser on-premise im Unternehmen bleiben sollten. Handelt es sich um unkritische Informationen, steht einer Cloud-Verwendung nichts im Weg. Bei sensiblen und kritischen Daten erhebt sich jedoch die Frage, ob eine Schnittstelle in die Cloud angebracht ist. Dabei sind zwei Dinge generell zu beachten: Bei Business-Software aus der Public Cloud stellt der Anbieter in der Regel die Schnittstellen vorab ein, die der Anwender dann individuell konfigurieren sollte, damit nur die unkritischen Daten mit dem Internet verbunden sind. Darüber hinaus kann aber auch der Cloud-Betreiber in die Verantwortung genommen werden, denn grundsätzlich haftet er für die Sicherheit der Daten.