Verantwortung bleibt beim Anwender

Kehren müssen Firmen Experton zufolge allerdings zunächst vor der eigenen Tür. Interne Verantwortlichkeiten und Rollen für die Informationssicherheit müssten geklärt werden. Klar müsse sein, dass die Verantwortung für die Informationssicherheit bei externen Cloud-Diensten immer im Unternehmen verbleibe.

Für jeden Cloud-Dienst, den ein Unternehmen von außen beziehen will, müsse anschließend eine Risikoanalyse durchgeführt werden. Geklärt werden muss dabei unter anderem, ob die geplante Verlagerung bestimmter Dienste und Daten in die Wolke mit geltendem Recht in Einklang steht. Ist das geklärt, empfehlen die Berater von Experton eine Gegenüberstellung der erwarteten wirtschaftlichen Vorteile mit den Risiken.

Lückenlos müssen die technischen und organisatorischen Sicherheitsmaßnahmen sein. Detailliert sollte der Anwender mit dem Dienstleister zusammen Arbeitsteilung und Schnittstellen klären. Beim Anbieter müssen zudem Prozesse für ReportingReporting, Incident Management und Audits festgeschrieben werden. Alles zu Reporting auf CIO.de

Dienstleister muss Auskunft über Subunternehmer geben

Das von der CSA beschriebene Problem der mangelnden Transparenz muss der Auftraggeber mit Fragen durchdringen. Der Dienstleister muss offenlegen, ob er für bestimmte Leistungen Subunternehmer beauftragt, was die Sicherheit einschränken kann. Auskunft einfordern müssen Auftraggeber von Cloud-Dienstleistern auch darüber, ob gesetzliche Standards gewährleistet sind. Je nachdem, in welcher Region der Dienstleister Daten speichert, ist das fraglich.

Service Levels bringen nur etwas, wenn sie auch messbar sind und sich Anbieter und Anwender über die Messmethode einig sind. Ratsam ist aus Sicht der Experton Group außerdem eine Ausstiegsklausel im Vertrag. Sei die Trennung vom Anbieter nach schwerwiegenden Vorfällen nicht möglich, könne dies ein Unternehmen viel Geld kosten.