Suchen

TÜV Rheinland i-sec über die Notwendigkeit der Datenwolke

Der sichere Weg in die Cloud

Seite: 3/3

Firmen zum Thema

Cyber Security in der Cloud: ein K.O.-Kriterium

Der Provider sollte über ein umfassendes Sicherheitskonzept verfügen, das sowohl Prozesse, Verantwortlichkeiten als auch die technologischen Grundlagen berücksichtigt. Neben der Konzeption selbst sind das tatsächliche Sicherheitsniveau und die Abwehrfähigkeit gegenüber Cyber-Angriffen entscheidend. Der Anbieter-Markt ist inzwischen von einer Vielzahl an Providern und einer enormen Vielfalt geprägt, was die Vergleichbarkeit der Lösungen und Standards anbetrifft. Zertifikate können eine Orientierungshilfe sein. Zu den international umfassendsten Wertmaßstäben für Qualität, Sicherheit und Compliance in der Cloud zählt das Zertifikat „Certified Cloud Service“ von TÜV Rheinland. Bei dieser Zertifizierung wird auch technisch im Detail geprüft, ob der Provider hält, was er verspricht.

Ebenfalls wird ein hohes Augenmerk auf die Compliance gelegt. Zum Beispiel wird untersucht, ob der Datenschutz gesetzeskonform umgesetzt und nach Vertragsende ein Datenschutz- und rechtskonformer Löschvorgang durchgeführt wird – inklusive aller Backups. Beides sollte auch für den Fall einer Insolvenz des Providers gewährleistet sein. Diese Punkte sind nicht selbstverständlich und ein wichtiges Qualitäts- und Differenzierungsmerkmal. Einfordern sollte man auch die Zusicherung über die Datenportabilität, um die Daten gegebenenfalls zurück in das Unternehmen holen zu können.

Wer steuert die Cloud?

Der Weg in die Datenwolke ist immer auch ein Change-Prozess, denn die Cloud bedeutet loszulassen ohne die Hoheit und Kontrolle über die eigenen Assets abzugeben. Die interne IT nimmt hier die unerlässliche Funktion der Schaltzentrale ein, denn die Anforderungen an den Cloud-Einsatz müssen fachlich richtig gesteuert werden. Dazu bedarf es IT-Know-hows, möglicherweise sind auch neue Prozesse, Kompetenzen und Schnittstellen zu definieren.

Künftig wird es noch wichtiger sein, dass sich die IT-Spezialisten mit den Experten aus den Fachbereichen auseinandersetzen und sich auf allen Seiten ein Verständnis der Möglichkeiten und Herausforderungen in der Zusammenarbeit innerhalb der Cloud entwickelt. Sicher ist: Mit dem richtigen und konstruktiven Weg wird das Unternehmen davon in jeder Hinsicht profitieren.

Ergänzendes zum Thema
Checkliste für Unternehmen, die über den Einsatz der Cloud nachdenken
  • Haben wir das erforderliche Knowhow rund um die Cloud im Hause? Brauchen wir externe Unterstützung für den Weg in die Cloud, der uns von der Konzeption bis zur Umsetzung begleiten sollte?
  • Welche Ziele verbinden wir mit dem Einsatz der Cloud?
  • Rechnet sich das? Welche Vorteile und Einsparpotenziale sind damit verbunden?
  • Welche Daten sollen / dürfen überhaupt in die Cloud?
  • Ist mein Unternehmen technologisch / personell / prozessual reif für die Cloud? Welche Anforderungen müssen wir erfüllen?
  • Welche Art der Cloud sollte es sein?
  • Provider-Auswahl: Ist der Provider zertifiziert? Nach welchem Standard wurde geprüft, was wurde genau bei ihm geprüft? Gibt es standardisierte Lösungen zertifizierter Provider, die sicher und günstig sind?
  • Service-Level-Agreements: Welche quantitativen und qualitativen Leistungen erbringt der Provider? Wie steht es um unsere Beweispflicht, wenn der Provider seinen vereinbarten Pflichten nicht nachkommt? Welche Backups und Sicherungsprozesse gibt es? Wie steht es um das Business Continuity Management des Providers?

Ergänzendes zum Thema
Der Autor

Hendrik A. Reese, Principal Consultant bei TÜV Rheinland i-sec
Hendrik A. Reese, Principal Consultant bei TÜV Rheinland i-sec
( Bild: TÜV Rheinland )

Hendrik A. Reese ist Principal Consultant bei der TÜV Rheinland i-sec und verantwortlich für Cloud Service Prüfungen und Zertifizierungen. Zusätzlich berät er diverse nationale und inter nationale Gremien im Hinblick auf Handlungsempfehlungen zum Cloud Computing für Wirtschaft und Verwaltung.

(ID:43548295)