Business-Software: Der Schutzzaun bekommt Löcher

Cloud-Security im Vertrag fixieren

Um ein angemessenes Sicherheitsniveau in der Cloud zu erreichen, muss der Provider grundlegende Sicherheitsmaßnahmen treffen. Diese müssen vertraglich klar festgelegt sein. Zu den wichtigsten Punkten gehören unter anderem eine strikte Mandantentrennung innerhalb der Cloud sowie die Isolierung der Cloud-Anwendungen. Bei besonders schützenswerten Informationen empfiehlt sich die Verschlüsselung der Daten und eine starke Zwei-Faktor-Authentifikation. Um die Portierung der Cloud-Inhalte bei einem Wechsel des Providers zu ermöglichen, sollten standardisierte und offene Schnittstellen und Formate verwendet werden.

Mittlerweile gibt es zur Sicherheit in Clouds als Orientierungshilfe und Entscheidungsvorlagen einige internationale Standards wie zum Beispiel von der Cloud Security Alliance und von der European Network and Information Security Agency (Enisa). Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat angekündigt, seine IT-Grundschutz-Kataloge um die Aspekte des Cloud Computings zu erweitern.

Der Schutz der Business-Software unter den aktuellen organisatorisch-technischen Rahmenbedingungen - Cloud, Mobile Access, permanente Verfügbarkeit - ist also mit einigem Aufwand verbunden. Wenn ein Unternehmen die Trends nutzen will, dann muss es ein neues Sicherheitsverständnis und eine neue Sicherheitsorganisation entwickeln. Sonst drohen im Fall eines Datenmissbrauchs rechtliche Konsequenzen und Reputationsverlust.