Fortinets Deutschland-Chef rät zur Vorsorge

Die fünf wichtigsten Fehler beim Cloud-Einstieg

| Autor / Redakteur: Christian Vogt* / Elke Witmer-Goßner

Dritter Fehler: Sich auf die Sicherheitsmaßnahmen des Cloud-Service-Providers verlassen

Unternehmen sollten nicht davon ausgehen, dass ihre Daten automatisch sicher sind, nur weil sie einen Cloud-Service-Provider nutzen. Sie müssen die Sicherheitstechnologie und -prozesse des Providers genau analysieren und prüfen, wie die Provider Kundendaten in ihrer eigenen Infrastruktur sichern. Dabei sollten sie besonders die folgenden Aspekte berücksichtigen:

  • Beim Transport von Applikationen und Daten sollten Kunden bestehende Applikationen, Daten und Prozesse in die Cloud des Providers exportieren und sie genau so leicht auch wieder zurückholen können.
  • Bei der physischen Sicherheit sollte vor allem hinterfragt werden, wie der Service Provider seine physischen Datenzentren schützt, ob sie SAS-70-Typ-II-konform (US-amerikanischer Standard für die Qualitätssicherung bei Dienstleistern, Typ II prüft auch die Wirksamkeit vorhandener Kontrollmechanismen) oder nach entsprechenden europäischen Standards zertifiziert (ISO 27001, ISAE 3402, SaaS-Gütesiegel etc.)sind, und wie gut trainiert und kenntnisreich das Rechenzentrumspersonal ist.
  • Ebenfalls zu prüfen sind der Zugang und die Betriebssicherheit, also wie der Provider den Zugang zu den physischen Maschinen kontrolliert oder wer Zugriff auf die Maschinen hat und wie sie verwaltet werden.
  • Wichtig ist auch die virtuelle Rechenzentrumssicherheit. Die Cloud-Architektur ist der Schlüssel zu mehr Effizienz. Zu fragen ist, wie die individuellen Komponenten wie Rechen-, Speicher- und Netzwerkknoten aufgebaut, integriert und gesichert sind.
  • Im Fokus steht auch die Anwendungs- und Datensicherheit. Um nämlich die Regeln des Unternehmens zu implementieren, muss die Cloud-Lösung die Definition von Gruppen und Rollen erlauben, damit die Zugangsrechte auf Basis differenzierter Rollenprofile unterschiedlich gestaltet werden kann. Dazu müssen angemessene Passwortregeln und Verschlüsselung von Daten auf dem Transportweg und im Speicher treten.

Vierter Fehler: Die Verantwortung für die eigenen Daten vernachlässigen

Unternehmen können nicht davon ausgehen, dass die Auslagerung ihrer Anwendungen oder Systeme bedeutet, dass sie sich der Verantwortung für Datenlecks entledig haben. Einige KMUs glauben das, aber es ist unabdingbar zu verstehen, dass das Unternehmen selbst letztlich Kunden und anderen Betroffenen für den Schutz und die Integrität der Daten verantwortlich ist. Einfach gesagt: Am Ende trägt nicht der CEO des Cloud-Providers das Risiko einer Gefängnisstrafe.

Fünfter Fehler: Verwirrung über das geltende lokale Recht

Daten, die in einem Land als sicher gelten, können in einem anderen als unsicher betrachtet werden. Die Anwender von Cloud-Services wissen aber oft gar nicht, wo ihre Daten gelagert werden. Derzeit favorisiert die EU im Zug der Vereinheitlichung des Rechts der Mitgliedsstaaten einen sehr strikten Schutz persönlicher Daten, während in den USA Gesetze wie der US-Patriot-Act der Regierung und anderen Einrichtungen nahezu unbegrenzten Informationszugriff auf Unternehmensdaten geben. Deshalb müssen Unternehmen immer wissen, wo ihre Daten gespeichert werden. Wenn nötig, sollte es Daten an mehr als einem Ort speichern. Es ist ratsam, eine Rechtsordnung zu wählen, wo das Unternehmen noch immer Zugriff auf seine Daten hat, auch wenn der Vertrag mit dem Cloud-Provider unerwartet endet. Der Serviceprovider sollte im Gegenzug seinen Kunden die Wahl darüber lassen, wo ihre Daten gespeichert werden.

Dies alles läuft darauf hinaus, dass der Einstieg in Cloud-Technologie mit risikomindernden Maßnahmen einhergehen muss. Firmen sind gut beraten, solche Schritte von Anfang an richtig zu planen und diese dann umzusetzen, um das Optimum aus ihrem Cloud-Investment zu machen.

Christian Vogt, Fortinet.
Christian Vogt, Fortinet. (Bild: Fortinet)

* Der Autor Christian Vogt ist Regional Director Germany bei Fortinet.

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43313113 / Services)