Outsourcing-Aktivität befindet sich in Europa auf Rekordniveau

Red Hat stellt Cloud- und Outsourcing-Security-Leitfaden zusammen

| Redakteur: Ulrike Ostler

4. Überprüfung der Einhaltung von Datenschutzgesetzen und -richtlinien

Von besonderer Bedeutung ist auch die Einhaltung aller datenschutzrechtlichen Bestimmungen. Das betrifft zum Beispiel die Erfassung, Speicherung und Nutzung personenbezogener Daten, die im Bundesdatenschutzgesetz geregelt sind. Aber Provider müssen natürlich auch branchenspezifische Standards und Compliance-Vorgaben abdecken.

Unternehmen, die ganz oder partiell ins Outsourcing/in die Cloud wollen, sollten wissen, welche Fragen an die Annbieter zu richten sind.
Unternehmen, die ganz oder partiell ins Outsourcing/in die Cloud wollen, sollten wissen, welche Fragen an die Annbieter zu richten sind. (Bild: Stephanie Hofschlaeger / pixelio.de)

So gilt beispielsweise für Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern und übermitteln, der Payment Card Industry Data Security Standard (PCI-DSS). Das Regelwerk umfasst eine Liste von zwölf konkreten Sicherheitsanforderungen an die Rechnernetze der Provider. Auch im Finanzsektor oder Gesundheitswesen finden sich klare branchenspezifische Vorschriften, die ebenfalls von allen externen Dienstleistern wie Cloud-Providern zu beachten sind.

5. Überprüfung der Konsistenz hybrider Infrastrukturen

Ein Unternehmen, das eine Outsourcing-Strategie verfolgt, sollte auch überprüfen, ob das Management und die Upgrades von Workloads beim Provider in einer Weise erfolgen, die mit Workloads an anderen Orten übereinstimmt und integrierbar ist. Red Hat beispielsweise unterstützt seine Kunden bei der Wahl einer geeigneten, sicheren Public-Cloud-Umgebung.

Im Rahmen des Certified Cloud Provider Program (CCP) wird überprüft, ob ein Provider zertifizierte Hardware und Hypervisoren nutzt und von Red Hat zertifizierte Red Hat Enterprise Linux Images bietet. Außerdem müssen die Provider dieselben Updates und Patches bereitstellen, die man auch direkt von Red Hat erhält, und einen klar definierten Software-Support anbieten. Damit wird sichergestellt, dass auch bei Images in einer Public Cloud aktuelle Security-Patches installiert sind und dass Workloads beliebig zwischen Public Clouds und der eigenen Infrastruktur verlagert werden können.

6. Festlegung von Richtlinien zur Überwachung, Steuerung und Risikokontrolle

Cloud Computing ist deutlich mehr als nur eine technische Art der Bereitstellung von Computerleistung. Benötigt werden klare Zuständigkeiten, Prozesse (Governance) und Sicherheitsrichtlinien beim Cloud-Provider. In vielen Unternehmen gibt es bereits eindeutig dokumentierte Richtlinien zur Risikokontrolle, Überwachung und Steuerung, die natürlich auch allen national geltenden Gesetzen und Vorschriften entsprechen müssen.

Für deren Einhaltung ist zum Beispiel ein eigener IT-Sicherheitsbeauftragter zuständig, den es auch beim Cloud-Provider geben muss. Darauf sollte ein Nutzer von Cloud-Services auch achten, denn eines darf nicht vergessen werden: Auch bei einem Outsourcing von IT oder Geschäftsprozessen ist ein Unternehmen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Und deshalb ist es zwingend erforderlich, den Ort der Datenhaltung, die Art der Datensicherung und Datenzugriffsmöglichkeiten durch den Provider exakt unter die Lupe zu nehmen.

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42927016 / Services)