Wie sicheres Cloud Computing gelingt

Wie können Unternehmen ihre IT-Security selbst optimieren?

IT-Sicherheit muss fest in der Organisationsstruktur des Unternehmens verankert sein. Es bedarf einer Sicherheitsorganisation mit klaren Verantwortlichkeiten und Eskalationswegen. Die Mitarbeiter brauchen Kontaktpersonen vor Ort, an die sie sich bei Fragen und Unsicherheiten direkt wenden können und die bei der Sensibilisierung und Schulung der Mitarbeiter aktiv mitwirken. Der Betriebsrat spielt hierbei ebenfalls eine wichtige Rolle als Multiplikator. Zum anderen braucht es klare Handlungsrichtlinien, etwa für den Umgang mit vertraulichen Daten, die Passwort-Politik oder die private Nutzung der Firmen-IT, auf die sich die Mitarbeiter verpflichten müssen. Das schafft einen verlässlichen Rahmen und gibt den Mitarbeitern Sicherheit in der Frage, was erlaubt ist und was nicht. Die Richtlinien sollten zunächst eher restriktiv gehalten werden. Es ist in der Praxis einfacher, bei Bedarf Ausnahmen zuzulassen, als ursprünglich laxe Regeln nachträglich zu verschärfen.

Was leisten Prozess-Standards im Bereich Cloud-Sicherheit?

IT-Dienstleister, die nach der internationalen Norm ISO 20000 zertifiziert sind, erbringen IT-Services wie etwa Cloud Computing standardisiert nach industriellen Maßstäben. Das gewährleistet eine gleichbleibend hohe Qualität der Services und bedeutet für den Kunden ein hohes Maß an Verlässlichkeit und Planbarkeit. Die weitere Standardisierung von IT-Services ist deshalb eine der zentralen Herausforderungen für den Mittelstand, wie eine Studie des Marktforschungsunternehmens Lünendonk unter Sourcing-Beratern zeigt. Insbesondere für die IT-Sicherheit sind standardisierte Prozesse unabdingbar. Sie bringen Verlässlichkeit und Produktionsqualität.

Die Abweichung von Standards bedeutet hingegen Sicherheitsrisiken und kann zu Schäden oder Sanktionen führen. Das gilt zum einen für physikalische Sicherheitsstandards wie zum Beispiel die Löschanlage im Rechenzentrum. Das gilt aber natürlich auch für organisatorische und prozessuale Sicherheitsstandards wie etwa Berechtigungskonzepte oder die Zugangskontrolle. Neben der ISO 20000 bietet vor allem die ISO 27001 als anerkannter Sicherheitsstandard für Rechenzentren einen guten Orientierungsrahmen für die Sicherheit von Cloud-Dienstleistungen.