Wie Sicher ist die Cloud

So sicher ist die Cloud

Ist der Anbieter gut und sicher genug? Im Cloud Computing summen die Daten nicht obdachlos herum, sondern werden in den Rechenzentren der Anbieter gespeichert. Erwägen Sie, auf die Cloud zu setzen? Hier finden Sie die besten Tipps für Privatpersonen und Unternehmen.

Damit ist eine Cloud wirklich sicher.

Würdest du in eine Cloud gehen, deren Operatoren dich nicht in ihre Visitenkarten sehen lassen? Selbstverständlich nicht - das war eine reine Rhetorikfrage -, denn kein seriöser IT-Manager würde die Unternehmensdaten in die Hand von jemandem geben, dessen Technik und Methodik im Unklaren sind. Aber woher wissen potenzielle Anwender, ob eine Cloud wirklich sicher ist?

Nun, wenn Sie nach einer wirklich gesicherten Cloud suchen, gibt es drei Schlüsselfaktoren, die Sie nicht ignorieren können: zum einen den Ort, zum anderen die Einrichtung eines Cloud-Rechenzentrums und zum anderen die Datenverarbeitung. Hinzu kommen entsprechende Sicherheitstools sowie die Gewährleistung, dass die extern bezogenen Dateien nach Ablauf des Vertrages nicht verloren gehen. Auch die Befürchtung, dass in diesen Clouds Informationen abgefragt werden können, ist seit den ersten Cloud-Angeboten vorhanden.

Immer mehr Provider gaben daher an, ihre Clouds auf nationalem Gebiet und nach nationalem Recht betrieben zu wollen. Das jüngste Beispiel ist Microsoft. Die Gruppe speichert ihre Cloud-Kundendaten ausschliesslich in Deutschland, insbesondere in den T-Systems-Rechenzentren in Frankfurt und Magdeburg. Dann möchten Sie sich vielleicht auf einen "reinen" deutschsprachigen Dienstleister verlassen?

Dabei hat sich die Verknüpfung von Sicherheitspersonal vor-Ort mit Kameraüberwachung aller relevanten und wesentlichen Innen- und Aussenbereiche und der anschließenden langfristigen Archivierung der Bilddateien in der Anwendung bestens bewiesen. Verfügen berechtigte Mitarbeitende und Lieferanten an 365 Tagen im Jahr ohne vorherige Ankündigung rund um die Uhr Zugang zum Datacenter - z.B. durch Datenspeicherung im Sys-tem?

Datenzentren müssen sicher sein, aber die Datensicherheit darf nicht alles aufhalten. Provider verschönern sich gern mit Zertifizierungen, um die Unbedenklichkeit ihrer Cloud zu belegen. Die Problematik: Viele dieser Label beruhen auf einer bloßen Selbstdarstellung durch den entsprechenden Cloud-Provider und haben daher wenig Auskunftswert. Denn nur wer seine Cloud-Angebote regelmässig von unabhängigen Prüfinstituten prüfen lassen kann, kann auf das vertrauensvolle Verhältnis der Datenmanager blicken.

Bei positiven Prüfungen, d.h. wenn ein Cloud-Service alle gesetzlichen und technologischen Anforderungen erfüllt, bekommt er ein entsprechend zertifiziertes Zeugnis. Diese Norm ist "die Königin aller Zertifikate" und eine der anspruchsvollsten international gültigen Normen für System- und physische Sicherheitsabläufe. Das Audit- und Zertifizierungsverfahren umfasst alle Bereiche des Unternehmens, einschließlich der Bereiche Infrastuktur, physische Sicherung und Zugangsmanagement, Personalwesen, Telekommunikation, Betrieb, Konformitätskriterien, Datenschutz und Notfallsysteme.

In der internationalen Norm ISO 27018 werden Datenschutzanforderungen an Cloud Service Provider festgelegt. Sie müssen umfassende Melde-, Informations-, Transparenz- und Verifizierungspflichten vorsehen, um bei den Verbrauchern und Verantwortlichen das nötige Know-how für die Bearbeitung von persönlichen Angaben in der Cloud zu gewinnen. In der Praxis sind die Zertifikate ISO 27017 und ISO 27018 weit verbreitete Standards, werden aber von keiner Zertifizierungsstelle kontrolliert - daher ist es empfehlenswert, auch eine TCDP I. TCDP I. TCDP I. TCDP I. TCDPI. TCDP 1.0 TCDP I. TCDP II.

Sternzertifikate der Cloud Security Alliance (CSA) wie CSA Star Level 2 Gold sind ein weiteres weltweites, renommiertes Gütesiegel. Die Trusted Cloud Initative, an der sich auch Repräsentanten der Telekom beteiligt haben, wird in Kürze in Deutschland ihre Wirkung entfalten. Mit diesem Gütesiegel erhalten Provider eine Form von Rundum-Sorglos-Paket.

Wenn Behörden des Bundes oder deutscher Konzerne auf Dienstleister mit diesem Zeugnis zurückgreifen, sind sie auf der sicheren Partie, dass der Dienstleister (für sie) alle in Deutschland gültigen Vorgaben zum Thema Sicherheit und Datenverfügbarkeit einhält. Ebenfalls Ende Juni 2018 tritt die neue DSGVO in Geltung - mit weit reichenden Folgen für den Betrieb, vor allem bei der Verwendung von Wolke.

Durch entsprechende Zulassungen wird die Gewährleistung des Datenschutzgrades nach den Artikeln 28, 32 und 42 der DSGVO sichergestellt - hier sind die Zulassungen ISO 27001, ISO 27017/18, TÜV Trusted Cloud Service, CSA STERN Stufe 2, TCDP I. 0 und BSI C5 von Bedeutung. Was die grundlegenden Datenschutzbestimmungen betrifft - eine Cloud braucht zwingend DSGVO-relevante Sicherheitsfunktionen wie einen Key Management Service (KMS) oder Identity and Access Management ein.

Daher muss der Provider geeignete Supportangebote bereitstellen, die rund um die Uhr verfügbar sind. Wurde ein Provider ermittelt, der alle bisher erwähnten Voraussetzungen erfüllt, ist es wichtig, auch über das Ende nachzudenken. Kann man die outgesourcten Informationen auch sicher aus der Cloud wiederherstellen? Die auf OpenStack basierende Cloud bietet Unternehmern eine herstellerneutrale Technologie.

IT-Schwergewichte wie die Telekom, HP, IBM und SAP sind an der stetigen Fortentwicklung des Framework mitbeteiligt. In jüngster Zeit hat sich das Cloud-Betriebssystem ÖffnerStack für virtuelle Infrastruktur-Services im Self-Service-Verfahren stark entwickelt. Mit der offenen, modularen Struktur von GreenStack, der massiven Erweiterbarkeit der Einzelleistungen und dem pulsierenden Lösungssystem verspricht das Unternehmen langfristig Investitionsschutz und die Entwicklung von immer gefragteren hybriden Cloud-Architekturen.

Beim Outsourcing sensibler Unternehmensdaten in eine öffentliche Cloud ist es wichtig, die Angebotssicherheit im Vorfeld zu prüfen. Kein Outsourcing in eine öffentliche Cloud darf es ohne vorherige Überprüfung der effektiven Security-Konzepte erfolgen. Nicht zuletzt sollten IT-Manager auch bedenken, dass sie ihre Informationen eines Tages wieder aus der Cloud holen wollen.

Mit OpenStack wird die Unabhängigkeit der eigenen Angaben gewährleistet. In Deutschland werden alle oben aufgeführten Anforderungen von einem einzigen Dienstleister erfüllt: Mit der Infrastructure as a Service Lösung Offene Telekom Cloud bietet sie maximale Betriebssicherheit zu niedrigen Sätzen. Durch ihre flexible Anpassbarkeit ist die Offene Telekom Cloud für alle Unternehmensgrößen einsetzbar.

Mehr zum Thema