Sicherheit in der Cloud geht Anbieter und Anwender glei­cher­maßen an

Sicherheit ist und bleibt ein zen­trales Thema, wenn es um die Dis­kussion und Akzeptanz von Cloud-Lösungen geht. Umso wich­tiger ist, dass Anbieter ihre Sicher­heits­stra­tegie umfassend offen­legen. Aber auch die Nutzer müssen bei der Auswahl ihrer Cloud-Lösung die rich­tigen Fragen und Weichen stellen.

Die gute Nach­richt – es geht weiter auf­wärts mit der Cloud-Nutzung in Deutschland. Das bestätigt der aktuelle BITKOM Cloud Monitor 2014. Die Unter­su­chung zeigt aber auch eine gewisse Ver­un­si­cherung bei (poten­zi­ellen) Cloud-Nutzern, her­vor­ge­rufen durch die Dis­kussion über Aus­späh­ak­ti­vi­täten diverser Geheim­dienste. Wenig ver­wun­derlich unter diese Umständen: Ziehen deutsche Mit­tel­ständler Cloud-Lösungen doch in Betracht, dann ver­trauen sie eher auf eine Private Cloud. Gefragt ist daher Auf­klä­rungs­arbeit in puncto Daten­schutz und nationale sowie inter­na­tionale Regu­larien und Richt­linien. Und es ist ein Dialog zwi­schen Anbietern und poten­zi­ellen Anwendern erforderlich.

Worauf Anwender achten sollten 
Natürlich beginnt die Sicherheit von Cloud-Lösungen bereits bei deren Ent­wicklung. Regel­mäßige Updates sind die Vor­aus­setzung, dass Lösungen immer die aktu­ellsten Sicher­heits­stan­dards erfüllen. Vor allem erfordert sicheres Cloud Com­puting aber einen ganz­heit­lichen Ansatz. Denn in puncto Sicherheit in der Cloud ist oft nur die Software-Ebene im Visier. Eine sichere Lösung berück­sichtigt aber neben der Software- immer auch die Plattform- und Infrastruktur-Ebene.

Doch was unter­scheidet nun einen bes­seren von einem eher weniger geeig­neten Cloud-Anbieter? Es gibt eine Reihe grund­sätz­licher Fragen, die Unter­nehmen an poten­zielle Kan­di­daten stellen sollten:

• Wo liegen welche Daten? Diese Frage ist sowohl regional- als auch pro­dukt­spe­zi­fisch zu ver­stehen. Regio­nal­spe­zi­fisch heißt: Weiß ich als Kunde, in welchen Ländern meine Daten gespei­chert werden, und kann ich mir diese Länder aus­suchen? Pro­dukt­spe­zi­fisch bedeutet: Kann ich Geschäfts­pro­zesse so gestalten, dass bestimmte Daten wei­terhin in meinen eigenen Sys­temen gehalten werden können, während ich andere Daten in die Cloud geben kann – sind also hybride Land­schaften möglich?
• Inwieweit sind Daten por­tierbar? Wenn ich morgen einen Cloud-Service nicht mehr brauche oder nicht mehr nutzen will, kann ich meine Daten pro­blemlos und sicher zu einem anderen Cloud-Service portieren?
• Wie steht es mit dem Identity Management? Wie ver­walte ich Nutzer, die über ver­schiedene Systeme auf meine Daten und Anwen­dungen zugreifen? Und wie stelle ich sicher, dass nur die richtige Person Zugriff auf die rich­tigen Daten hat?
• Wer kümmert sich um die Systeme? Kann ich als Kunde meine Cloud-Lösung mit den gleichen Tools betreuen, wie ich es aus der On-Premise-Welt gewohnt bin? Oder liegt die Betreuung kom­plett in der Hand des Herstellers? 

Nicht zuletzt ist Sicherheit immer auch eine Frage der Kultur. Sie muss von den Mit­ar­beitern auf Seite der Kunden wie auch den Mit­ar­beitern des Cloud-Anbieters gelebt werden. Es kann nicht oft genug gesagt werden: Zur Cloud-Sicherheit gehören bereits so scheinbar simple Dinge wie der sorg­fältige Umgang mit Pass­wörtern oder schlicht, Mobil­geräte mit Passwort oder PIN zu schützen, wenn diese gerade nicht genutzt werden.
 

Bild:  © SAP AG / Reto Klar