Security-Management für die Cloud 10 Grundregeln für mehr Sicherheit beim Cloud Computing

Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Wenn man den Schritt hin zu (externen) Cloud-Anbietern wagt, bekommt das Thema Sicherheit Priorität. Doch wie kann man wirklich sicherstellen, dass die eigenen Informationen auch „draußen“ gut geschützt sind? Dieser Beitrag enthält zehn wichtige Regeln, um beim Cloud Computing auf Nummer sicher zu gehen.

Firmen zum Thema

Sicherheit in der Cloud ist nicht nur ein technisches Thema, sondern birgt vor allem organisatorische Herausforderungen.
Sicherheit in der Cloud ist nicht nur ein technisches Thema, sondern birgt vor allem organisatorische Herausforderungen.
( Archiv: Vogel Business Media )

Beim Cloud Computing gibt es ohne Frage Unterschiede zwischen verschiedenen Arten externer Clouds. Da wäre zum einen die externe private Cloud, also eine (mehr oder weniger) dedizierte Infrastruktur bei einem externen Provider.

Dem stehen Public Clouds gegenüber: Infrastrukturen, bei denen Dienste in mandantenfähiger Form für viele Kunden angeboten werden. Man denke hier an Microsoft BPOS, Amazon EC2, Google Apps, Salesforce.com und wie sie alle heißen.

Bei der Sicherheit gibt es allerdings Regeln, die grundsätzlich gelten – und zwar nicht nur für das Cloud Computing. In den meisten Fällen betreffen sie auch die interne IT, wenn auch manchmal in abgewandelter Form. Die wichtigsten Regeln aus meiner Sicht sind:

1. Durchgängige Richtlinien und Prozesse für die Informationssicherheit: Es gibt nicht die interne und die externe Informationssicherheit! Es muss einen konsistenten Ansatz mit organisatorischem Rahmen, Regelwerken, Richtlinien und Prozessen für die gesamte IT geben.

2. Risiko-orientierte Vorgehensweise und Schutzbedarfsanalyse: Die Entscheidung darüber, wo welche Informationen liegen und welche spezifischen Anforderungen an Cloud Provider zu stellen sind, muss strukturiert erfolgen. Das geht nicht ohne ein Risikomanagement-Konzept und es geht nicht ohne Schutzbedarfsanalyse.

3. Strukturierte, risikoorientierte Prozesse für die Auswahl von Dienstanbietern: Die Auswahl von Cloud Providern muss standardisiert und zentralisiert erfolgen. Sie darf nicht dezentral und unkoordiniert vorgenommen werden.

4. Klar definierte Service Level Agreements: Was die Anbieter zu liefern haben, muss vorab definiert sind. Eindeutig. Messbar.

5. Nachvollziehbarkeit der Service-Erbringung und -Qualität: Entsprechend muss auch gemessen werden, was die Anbieter liefern.

Seite 2: Zugriffsmanagement und Verfügbarkeit

Zugriffsmanagement und Verfügbarkeit

6. Gezielte Verschlüsselung von Transportwegen und Informationen: Dort, wo eine Verschlüsselung machbar ist und wo sie aufgrund des Risikos erforderlich ist, muss sie auch umgesetzt werden.

7. Durchgängiges Identitäts- und Berechtigungsmanagement: Das Management von Benutzern und Autorisierungsregeln muss konsistent sein. Standards wie SAML, SPML oder XACML helfen dabei. Noch wichtiger ist aber das Konzept dahinter.

8. Management und Kontrolle von privilegierten Benutzern: Privilegierte Zugriffe müssen kontrolliert werden – und das nicht nur in der Cloud. Was können die Operatoren und Administratoren machen? Und welche potenziellen Schäden können die privilegierten Benutzer des Cloud Providers anrichten?

9. Nutzung von Anonymisierungs- und Maskierungstechnologien: Nicht immer müssen die echten Daten in der Cloud liegen. Neue Technologien im Bereich der Anonymisierung und Maskierung von Daten gewinnen an Gewicht.

10. Vordefinierte Fallback- und Migrationsszenarien: Schließlich muss man die Daten auch zuverlässig und vollständig zurück bekommen. Das hat auch mit Sicherheit und nicht nur mit Verfügbarkeit zu tun, weil dazu von vornherein die Regeln gehören, die sicherstellen, dass keine Daten beim Provider verbleiben.

Deutlich wird dabei: Sicherheit in der Cloud ist mehr ein organisatorisches als ein technisches Thema. Technologie ist wichtig und es gibt manche Technologie, die noch reifen muss – im Bereich Information Rights Management, im Bereich Autorisierung, im Bereich der Verarbeitung von verschlüsselten Informationen, um nur einige Beispiele zu nennen.

Entscheidend ist aber, dass man die Organisation, Prozesse und Richtlinien definiert. Nur so kann man überhaupt entscheiden, was man in welcher Form und unter welchen Voraussetzungen mit welchem Cloud-Anbieter machen kann und will.

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:2049929)