Ratgeber - kritische Funktionen in die Cloud auslagern

Diese Sicherheitsmaßnahmen sollten Sie treffen

Über folgende generelle Sicherheitsmaßnahmen müssen Unternehmen bei Leistungen aus einer Public oder Hybrid Cloud nachdenken:

1. Prozesse

Der Provider muss über definierte und dokumentierte Prozesse (zum Beispiel Benutzer- und Rechtemanagement, Change Management, Incident Handling oder Problem Management) verfügen, deren Schnittstellen zu den entsprechenden Prozessen des Kunden nach den Sicherheitskonzepten der Migrationsphase getestet wurden. Alle technischen Schnittstellen zum Provider müssen die Architektur- und Sicherheitsanforderungen des Kunden erfüllen. Beispiele für diesen Bereich: Es dürfen nur durch den Kunden autorisierte Änderungen durchgeführt werden; Eskalations- und Kritikalitätsstufen sowie Reaktionszeiten des Kunden für Störungen müssen beim Incident Handling eingehalten werden. Weiter weist der Provider über die regelmäßige Auswertung von Kennzahlen nach, dass die Prozesse mit einem vereinbarten Reifegrad eingehalten werden.

2. Business Continuity

Der Provider muss durch Zertifizierung und Protokolldaten nachweisen, dass er ein angemessenes Notfallmanagement aufgebaut hat und betreibt. Gemeinsam mit dem Kunden entwickelt der Provider geeignete Notfall- und Recovery-Pläne, die etwa Teil der Sicherheitskonzepte aus der Migrationsphase sind. Nach diesen Plänen erfolgen regelmäßige Übungen, die auch Tests für das Zusammenspiel zwischen Kunde und Provider einbeziehen.

3. Technik

Alle Kommunikationsverbindungen, über die sensitive Daten übertragen werden, sind mit State-of-the-Art-Technologien zu verschlüsseln - auch in den Cloud-Rechenzentren. Bei hohen Anforderungen an die Vertraulichkeit sind Daten auch in verschlüsselter Form zu speichern.

Die Authentifizierung von Benutzern und Administratoren muss angemessen abgesichert werden. Bei hohen Zugriffsrechten sollte mindestens eine Zwei-Faktor-Authentifizierung (zum Beispiel durch Wissen und Besitz, Passwort und Token) erfolgen. Fernwartungszugriffe erfolgen nur nach ausreichender Authentifizierung über verschlüsselte Kommunikationsverbindungen. Weiter ist ein Monitoring zu implementieren, das es erlaubt, Störungen und Sicherheitsvorfällen frühzeitig zu erkennen.