Laurent Curny, Area Vice President, Germany, Austria & CEE, Verizon Enterprise Solutions im Interview Mit Due-Diligence den richtigen Cloud-Provider finden

Redakteur: Florian Karlstetter

Unternehmen zögern oftmals noch immer, Teile ihrer IT-Umgebung in die Cloud zu verlagern. Das häufigste Hindernis bei der Einführung der Cloud ist allgemein das Thema Sicherheit. In Wahrheit kann die Cloud ebenso sicher sein wie IT-Umgebungen auf dem eigenen Firmengelände.

Firmen zum Thema

Für den Erfolg des Wechsels zu einem Cloud-basierten Geschäftsmodell spielen die Unternehmen selbst eine maßgebliche Rolle. Aber auch bei der Auswahl des Providers sind verschiedene Schritte und Überlegungen zu befolgen.
Für den Erfolg des Wechsels zu einem Cloud-basierten Geschäftsmodell spielen die Unternehmen selbst eine maßgebliche Rolle. Aber auch bei der Auswahl des Providers sind verschiedene Schritte und Überlegungen zu befolgen.
(© alphaspirit - Fotolia.com)

Ein weiteres wichtiges Bedenken gilt der Service-Zuverlässigkeit. Cloud-Ausfälle, die es in die Schlagzeilen schaffen, sind für Leute, die den Umzug in die Cloud in Betracht ziehen, ein willkommener Anlass für eine Denkpause. Anbieter-Abhängigkeit bereitet ebenfalls Sorgen. Denn Datenmigration ist selbst in der herkömmlichen IT-Welt eine der größten Hürden bei der Einführung einer neuen Technologieplattform. Viele glauben, dass es unmöglich ist, die Daten zurückzubekommen, wenn sie erst einmal in der Cloud sind.

Diese Bedenken lassen sich jedoch leicht durch Due-Diligence bei der Auswahl des Cloud-Providers zerstreuen. Als Unternehmen sollte man besonders darauf achten, welche Praktiken befolgt und welche Branchenstandards eingehalten werden. An strikte Service Level Agreements (SLAs) gekoppelte Verträge geben Unternehmen, die über den Umzug in die Cloud nachdenken, das gute Gefühl, dass der Service sicher und zuverlässig ist und sämtliche Vorteile bietet, die man erwartet.

Glauben Sie, dass Sicherheitsthemen auf Seiten der Kunden ein Problem darstellen? Liegt es in ihrer Verantwortung, dafür zu sorgen, dass der Provider ihre Daten schützt, oder sollte das selbstverständlich sein?

Laurent Curny: Die Bedenken der Kunden, sensible Daten durch die Firewall aus dem Unternehmen herauszugeben, sind nur zu verständlich; es liegt in der Verantwortung des Service-Providers, sich damit angemessen auseinanderzusetzen. Die Kunden sind allerdings gut beraten, Due-Diligence-Verfahren durchzuführen, bevor sie sensible Informationen einem Cloud-Provider überlassen. Sie sollten sich vergewissern, dass dort speziell mit Blick auf Kundendaten die nötigen Sicherheitsvorkehrungen vorhanden sind.

Zunächst sollte man sich vergewissern, dass beim Provider die erforderlichen Sicherheits- und Zugangskontroll-Protokolle in Kraft sind. Neben den herkömmlichen Firewalls sollten sich Cloud-Provider einen in Ebenen gegliederten Sicherheitsansatz zunutze machen. Da wäre zunächst die physische Sicherheit mit rigorosen Sicherheitskontrollen und ausgereiften Überwachungssystemen. Dann folgt die logische Sicherheit in Form von Netzwerktrennung zwischen den einzelnen Cloud-Mandanten und schließlich durch Firewalls separierte Kontexte für jede vom User gemanagte Umgebung. Hinzu kommen hochmoderne Systeme für Intrusion Protection und zum Schutz vor DDoS, die dazu beitragen können, unerwünschte Gäste von der Cloud-Plattform fernzuhalten. Zusätzliche Sicherheit lässt sich weiter durch Verschlüsselung der in der Cloud gespeicherten Daten erreichen sowie durch Ausweitung der unternehmenseigenen Zugangskontrollen und rollenbasierten Zugang zur Cloud-Umgebung des Unternehmens. Verschlüsselung sollte allein Sache des Kunden sein; der Cloud-Provider sollte niemals Zugang zu Daten haben, die nicht verschlüsselt sind.

Weiter muss der Cloud-Provider in der Lage sein, alle zutreffenden Compliance-Anforderungen zu erfüllen. Branchenstandards und -richtlinien wie der Payment Card Industry Data Security Standard (PCI-DSS) haben klar definierte und messbare Sicherheitsanforderungen. Damit Cloud-Computing auf diesem Gebiet machbar ist, müssen die Provider dieselben Standards und Kontrollmechanismen anbieten, die auch inhouse bei ihren Kunden gelten.

Schließlich sollte der Provider sämtliche Fragen beantworten können, die ein Kunde eventuell hat, zum Beispiel wo die Daten gespeichert werden. Sollten sie keine definitiven Antworten parat haben, ist das Grund genug, die Alarmglocken zu läuten.

Lassen sich Single-Sign-On-, Federated-IAM- und ID-Governance am besten in Form eines Cloud- oder Hybridmodells bereitstellen?

Curny: Was früher ein geschlossenes lokales Netzwerk war, ist im Unternehmen von heute ein global verbundenes Netz aus Menschen und Endgeräten. Mehrfache Benutzeridentitäten und Zugangspunkte lassen sich immer schwerer verwalten und erhöhen das Risiko von Sicherheitsverletzungen. Durch zunehmende Verknüpfung mit externen Usern wie Partnern, Zulieferern und Anbietern steigt das Risiko weiter.

Identity and Access Management (IAM) gestaltet das Verwalten von Benutzerzugangsdaten effizienter und sicherer, denn es fasst Netzwerkzugangsprivilegien für Mitarbeiter, Partner, Zulieferer und Anbieter unabhängig von Device und Standort zentral zusammen. Allerdings ist IAM-Software nicht ganz das, was der Hype verspricht. Häufig gibt es organisatorische Grabenkämpfe mit entsprechend langen Implementierungszeiten bei der Integration einzelner Anwendungen; Entwicklung und Wartung können sehr aufwendig sein. Das bedeutet: Es dauert, bis der Nutzen erkennbar wird. Aufgrund der anfänglichen Einrichtungskosten sind die Betriebskosten hoch, ebenso das Verhältnis von Services zu Lizenz, nicht zu vergessen der Bedarf an speziell ausgebildetem Supportpersonal.

Cloud-basiertes IAM kann diese Problematik deutlich abschwächen. Es sorgt für wegweisende Sicherheit, während gleichzeitig die Notwendigkeit für zusätzliche Hard- und Software entfällt. Weiter kann man – wie bei den meisten Cloud-Services – davon ausgehen, dass alles schnell einsatzbereit ist.

Federated Identity

Verbundene Identität (Federated Identity) kann den Aufwand beim User-Zugangsmanagement weiter reduzieren, weil sie system- und firmenübergreifend die Authentifizierung ermöglicht. Zwischen Systemen wird eine Vereinbarung über gegenseitiges Vertrauen geschlossen, der Benutzer braucht sich nur einmal einzuloggen, die Authentifizierung wird zwischen den vertrauenswürdigen Systemen weitergegeben. Federated Identity verringert nicht nur die Zahl der Berechtigungsnachweise, die sich ein Benutzer merken muss, sie beschleunigt auch den Zugang zu kritischen Systemen. Das kann allerdings die Komplexität der Sicherheit erhöhen, da jedes System vertrauenswürdige Links zu den anderen Systemen herstellen und so ein Netz von Verbindungen aufbauen muss.

Cloud-basiertes AIM agiert wie ein Broker und nimmt der Federated Identity die Komplexität. Wie eine Achse mit Speichen ermöglicht es die Authentifizierung zwischen Systemen. Neue "Speichen" lassen sich schnell und einfach hinzufügen, ganz gleich, ob es sich um zusätzliche interne oder neue Systeme aufgrund von Partnerschaften oder Fusionen handelt.

Zugleich können Unternehmen mit einer Cloud-basierten IAM-Lösung rasch mit dem Zugangsmanagement beginnen; Kosten und Risiken sind gedeckelt. Durch die Kombination von IAM-Experten und einer IAM-Infrastruktur auf Best-Practice-Basis können Unternehmen ihre Sicherheitsziele schneller und preisgünstiger als bei einer Inhouse-Lösung erreichen. Weiter lassen sich neue User schnell einbinden, wodurch sie unmittelbar zum Unternehmenserfolg beitragen können.

Manche Unternehmen meiden die Cloud, weil es ihnen an Fähigkeiten und Wissen fehlt. Wie kann man Menschen mehr über Cloud-Sicherheit vermitteln?

Curny: Wie bei jeder anderen Form von IT-Sicherheit ist Bewusstmachung die beste Verteidigung. Missverständnisse über Cloud-Sicherheit sind weit verbreitet; daher ist es verständlich, dass manche Unternehmen aus Furcht vor dem Unbekannten die Cloud meiden. Als Folge hiervon obliegt es den Cloud-Providern, ihre Kunden über die Realität von Sicherheitsbedrohungen im Rahmen von Cloud-Computing aufzuklären, damit sie ihre Unsicherheit überwinden.

Die Fähigkeit, eine groß angelegte Cloud-Implementierung zu managen, mag im Kundenunternehmen nicht vorhanden sein. Daher ist es umso wichtiger, dass Provider bei ihren Kunden das Vertrauen wecken, dass sie in der Lage sind, die entsprechenden Tools und das Know-how bereitzustellen, damit Cloud-Computing auch für ihr Geschäft funktioniert und die gewünschten Resultate bringt.

Glauben Sie, dass Unternehmen mehr investieren müssen, um ihre Clouds sicherer zu machen?

Curny: Für den Erfolg des Wechsels zu einem Cloud-basierten Geschäftsmodell spielen die Unternehmen selbst eine maßgebliche Rolle. Häufig geht es bei der Frage der sicheren Umgebung mehr um Zeitaufwand und weniger um Geld. Will man sich die Vorteile des sicheren Cloud-Computing zunutze machen, kommt es entscheidend auf die Durchführung von Due-Diligence im Vorfeld an.

(ID:42358991)