Security-Management für die Cloud 10 Grundregeln für mehr Sicherheit beim Cloud Computing

Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Wenn man den Schritt hin zu (externen) Cloud-Anbietern wagt, bekommt das Thema Sicherheit Priorität. Doch wie kann man wirklich sicherstellen, dass die eigenen Informationen auch „draußen“ gut geschützt sind? Dieser Beitrag enthält zehn wichtige Regeln, um beim Cloud Computing auf Nummer sicher zu gehen.

Firmen zum Thema

Sicherheit in der Cloud ist nicht nur ein technisches Thema, sondern birgt vor allem organisatorische Herausforderungen.
Sicherheit in der Cloud ist nicht nur ein technisches Thema, sondern birgt vor allem organisatorische Herausforderungen.
( Archiv: Vogel Business Media )

Beim Cloud Computing gibt es ohne Frage Unterschiede zwischen verschiedenen Arten externer Clouds. Da wäre zum einen die externe private Cloud, also eine (mehr oder weniger) dedizierte Infrastruktur bei einem externen Provider.

Dem stehen Public Clouds gegenüber: Infrastrukturen, bei denen Dienste in mandantenfähiger Form für viele Kunden angeboten werden. Man denke hier an Microsoft BPOS, Amazon EC2, Google Apps, Salesforce.com und wie sie alle heißen.

Bei der Sicherheit gibt es allerdings Regeln, die grundsätzlich gelten – und zwar nicht nur für das Cloud Computing. In den meisten Fällen betreffen sie auch die interne IT, wenn auch manchmal in abgewandelter Form. Die wichtigsten Regeln aus meiner Sicht sind:

1. Durchgängige Richtlinien und Prozesse für die Informationssicherheit: Es gibt nicht die interne und die externe Informationssicherheit! Es muss einen konsistenten Ansatz mit organisatorischem Rahmen, Regelwerken, Richtlinien und Prozessen für die gesamte IT geben.

2. Risiko-orientierte Vorgehensweise und Schutzbedarfsanalyse: Die Entscheidung darüber, wo welche Informationen liegen und welche spezifischen Anforderungen an Cloud Provider zu stellen sind, muss strukturiert erfolgen. Das geht nicht ohne ein Risikomanagement-Konzept und es geht nicht ohne Schutzbedarfsanalyse.

3. Strukturierte, risikoorientierte Prozesse für die Auswahl von Dienstanbietern: Die Auswahl von Cloud Providern muss standardisiert und zentralisiert erfolgen. Sie darf nicht dezentral und unkoordiniert vorgenommen werden.

4. Klar definierte Service Level Agreements: Was die Anbieter zu liefern haben, muss vorab definiert sind. Eindeutig. Messbar.

5. Nachvollziehbarkeit der Service-Erbringung und -Qualität: Entsprechend muss auch gemessen werden, was die Anbieter liefern.

Seite 2: Zugriffsmanagement und Verfügbarkeit

(ID:2049929)