Cloud Computing und Verträge
Klarheit für nebulöse Cloud-Leistungen
2. Die Sicherheit der Unternehmensdaten
Unternehmen, die ihre Daten "aus der Hand geben" und in der Cloud speichern, wollen zumindest "Herr ihrer Daten" bleiben und permanent auf sie zugreifen können. Wie aber lässt sich die Sicherheit der Unternehmensdaten vertraglich gewährleisten?
Um sich gegen Datenverlust effektiv abzusichern, sollte der Cloud-Nutzer im Vertrag festlegen, welche Daten der Anbieter selbst wie und in welchen Abständen sichern soll und ob beziehungsweise wann Sicherungen gelöscht werden können. Werden für die Sicherung Online-Backups in der Cloud genutzt, muss die ständige Verfügbarkeit des Services "Datenspeicherung" gewährleistet sein.
Nutzt ein Unternehmen gleich mehrere Clouds, so bietet sich eine "Multi-Cloud-Lösung" an, sprich: die mehrfache Speicherung der Daten in verschiedenen Wolken. Die alternativen Cloud-Dienste sollten dabei von unterschiedlichen Anbietern zur Verfügung gestellt werden, und beim Ausfall einer Cloud muss es möglich sein, sofort auf einen alternativen Service zurückzugreifen. Steuerung und Überwachung der Clouds lassen sich über End-to-End-Monitoring oder Cloud-Service-Management umsetzen.
Besonders sensible Daten sollten die Unternehmen zusätzlich selbst sichern ("hybrider Lösungsansatz") - und zwar regelmäßig. So bleibt der Datenzugriff auch bei unterbrochener Internetverbindung erhalten. Ferner macht sich das Unternehmen damit unabhängiger vom Anbieter.
Dennoch können Daten verloren gehen. Deshalb muss der Vertrag ein Konzept für die Datenwiederherstellung enthalten. Es regelt, wie bei Datenverlusten zu verfahren ist. Bestimmt werden sollten die Dauer des maximalen Systemausfalls und der Zeitraum vom Schadenseintritt bis zum Einspielen der Backups in ein lauffähiges System.
Zudem muss sich das Unternehmen überlegen, ob und in welchem Umfang es Datenverluste hinnehmen kann. Hierzu wird der Zeitraum zwischen den Datensicherungen bestimmt. Das Datenaufkommen und die Transaktionen zwischen den Sicherungen stellen die maximale Datenverlustmenge dar.
Schließlich sind die Kosten der Datenwiederherstellung zuzuweisen und die Haftung für die Schäden zu regeln, die mittelbar durch den (vorübergehenden) Datenverlust entstehen. Bietet der Cloud-Anbieter Disaster-Recovery-as-a-Service an, sollte der Kunde genau prüfen, ob dieser Service ausreichenden Schutz schafft.
Die wichtigsten Fragen zur Datensicherung:
-
Ist der Anbieter vertraglich verpflichtet, regelmäßig Backups durchzuführen? Reicht das Backup aus? Können mehrere Backup-Verfahren kombiniert werden?
-
Muss der Anbieter umfassend Bericht erstatten?
-
Enthält der Vertrag ein Konzept zur Datenwiederherstellung? Bietet der Anbieter Disaster-Recovery-as-a-Service an? Gewährt dieser Service ausreichenden Schutz? Sind weitere individuelle Vereinbarungen notwendig?
-
Sind Datensicherung und -wiederherstellung im Zusammenhang mit der Verfügbarkeit in den SLAs (Service Level Agreements) geregelt?
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da - Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers. - Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software. - Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.