 |
|
08.03.2010, von Katharina Friedmann
Angesichts der Tatsache, dass knapp jedes dritte Unternehmen angibt, aufgrund von Sicherheitsbedenken bereits auf IT-Lösungen verzichtet zu haben, seien diese Vorbehalte durchaus ernst zu nehmen, schreibt Techconsult-Experte Burghardt. Laut Umfrage stehen Sicherheitsbedenken unter den Gründen für die Ablehnung von Cloud Computing an erster Stelle (77 Prozent). Daneben seien es vor allem Faktoren wie Kontrollverlust, das Gefühl der Abhängigkeit sowie rechtliche Aspekte, die bei den Cloud-Skeptikern Berührungsängste hervorrufen.
 |   |
| "Da externe Cloud-Dienstleister ihre Dienste für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben", so Experton-Berater Wolfram Funk. |
Auch die Experton Group hat sich intensiv mit der Cloud-Hürde Sicherheit auseinandergesetzt - und ist zu folgendem Schluss gekommen: "Die Situation erscheint paradox: Grundsätzlich ermöglichen es externe Cloud-Services der Mehrzahl der Kunden, die Sicherheit bestimmter Anwendungen und Dienste auf ein höheres Niveau als bislang zu heben", sagt Wolfram Funk, Senior Advisor bei der Experton Group. "Da externe Cloud-Dienstleister ihre Dienste für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben."
Für wenig zweckdienlich hält der Experton-Berater allerdings die meist auf technologischer Ebene geführte Diskussion um die Sicherheit von Cloud-Services. Den Schlüssel zum Erfolg sieht er in Aktivitäten rund um Risikoanalysen, Service Level Agreements (SLAs) und Provider Management. Solide technische Maßnahmen zur Absicherung von Cloud Services seien zwar wichtig, noch wichtiger jedoch die Beziehung zum Cloud-Dienstleister, so Funk. Wer durch extern bezogene Cloud Services mit vertretbarem Aufwand ein höheres Sicherheitsniveau als bei Inhouse-Lösungen erzielen will, sollte allerdings einige Regeln beherzigen:
1. Zunächst sollten Unternehmen die interne Organisationsstruktur auf Vordermann bringen sowie Verantwortlichkeiten und Rollen für Informationssicherheit intern klären.
2. Die Verantwortung für Informations-Sicherheit insgesamt sowie für Koordination, Management und Qualitätskontrolle externer (Cloud-)Dienstleister verbleibt immer im Unternehmen.
3. Unternehmen sollten eine detaillierte Risikoanalyse (inklusive Compliance-Risiken) für den spezifischen, extern bezogenen Cloud Service sowie die zur Debatte stehenden Informationen und Prozesse vornehmen.
4. Wirtschaftliche Aspekte, interne und kundenorientierte Prozessverbesserungen und weitere potenzielle Nutzeneffekte müssen den erwarteten (Rest-) Risiken gegenübergestellt werden.
5. Die Sicherheitsarchitektur muss Arbeitsteilung und Schnittstellen zwischen dem Provider und dem eigenen Unternehmen detailliert festlegen.
6. Prozesse für Reporting, Incident Management und Audits beim Dienstleister sind festzuschreiben.
7. Kann der Cloud-Dienstleister die angeforderte Leistung auch tatsächlich erbringen? Hier gilt es auch zu hinterfragen, ob er Subunternehmer einsetzt, die das Risiko möglicherweise erhöhen.
8. Die Einhaltung regulatorischer Anforderungen durch den Provider muss geklärt und festgeschrieben, unter anderem im Hinblick auf den Umgang mit Daten und deren Speicherung in bestimmten Regionen.
9. Für sicherheitsrelevante Kriterien dürfen nur Service Level vereinbart werden, die sich auch messen lassen. Dabei ist die vorgeschlagene Messmethode sorgfältig zu prüfen.
10. Der Kunde muss im Vorfeld festlegen, wie die Exit-Bedingungen im Falle eines Providerwechsels aussehen. Ein "Vendor-Lock-In" kann das Unternehmen im Ernstfall teuer zu stehen kommen.
| ||||
