2. Juli 2018

Die Cloud sorgt für Sicherheit – aber nur mit Plan

Es gibt für Unternehmen keinen Grund, nicht über den Wechsel in die Cloud zu diskutieren. Zu vielversprechend sind die Vorteile wie Flexibilität, niedrigere Kosten oder höhere Betriebssicherheit. Was aber müssen Unternehmensverantwortliche rund ums Thema Sicherheit im Kontext einer Cloud-Migration wissen? Soviel vorweg: Nur wer die Zusammenarbeit mit dem Cloud-Anbieter vertraglich exakt regelt, profitiert tatsächlich von einem Plus an Cybersicherheit.

Durch geschickte Cloud-Migration können Unternehmen ihr Sicherheitslevel erhöhen zoom Durch geschickte Cloud-Migration können Unternehmen ihr Sicherheitslevel erhöhen

Was aus Sicht der IT-Administratoren unbehaglich erscheint, bietet aus der Perspektive von Geschäftsführern, CEOs, CISOs und anderen Entscheidungsträgern erhebliche Vorteile: die Migration einzelner Anwendungen oder gar ganzer Rechenzentren in die Cloud. Administratoren befürchten einen Kontrollverlust und die schlechtere Verfügbarkeit der ausgelagerten Anwendungen, wenn die jeweilige Hard- samt Software nicht mehr vor Ort steht. Dieses Unbehagen können Unternehmen aber in Kauf nehmen. Denn letztlich betreiben die Anbieter von Cloud-Diensten ihre Rechenzentren meist auf höherem Niveau als dies selbst größere Mittelständler können.

Beginnend bei der physischen Sicherheit – Zutrittskontrollen, Einbruchsschutz – über den Brandschutz hinweg bis hin zum mehrfach redundanten Auslegen von Notstromversorgung oder Netzwerkinfrastruktur – für Betreiber von Cloud-Rechenzentren ist der höhere Aufwand Grundvoraussetzung für erfolgreiche Kundenakquise. Ohne diese Maßnahmen, würde kein Unternehmenskunde einen Vertrag unterzeichnen. Deshalb können Entscheider sicher sein, dass die Verfügbarkeit der ausgelagerten Anwendungen durch die Migration nicht schlechter wird.

Wie aber steht es um die eigentliche Cybersicherheit? Auch hier punkten professionelle Betreiber, haben sie doch zumeist eigene Cybersicherheitsteams, die rund um die Uhr nach Anzeichen erfolgreicher Angriffe suchen. Und genau daran lässt sich die Krux gut verdeutlichen, auf die viele Cloud-Nutzer erst nach Vertragsabschluss aufmerksam werden: Nur wer sich die Dienste solcher Spezialisten vertraglich zusichern lässt, kann auch auf sie zugreifen. Verhandlungen mit Cloud-Anbietern sind also mitnichten die Aufgabe der IT-Spezialisten alleine. Die Unternehmensführung muss mit an den Tisch, um das Vertragswerk so wasserdicht wie möglich zu gestalten.

Denn sogar im eigenen Haus selbstverständliche Dienste wie Backups oder die Installation von Antiviren-Software erbringen Cloud-Dienstleister oft nur, wenn sie vertraglich dazu verpflichtet werden. Von anspruchsvolleren Themen wie dem Verschlüsseln von ruhenden oder transferierten Daten ganz zu schweigen. Beim Verschlüsseln muss der Kunde zudem Sorge dafür tragen, dass sämtliches Schlüsselmaterial in seinem Besitz ist beziehungsweise gar nicht erst in den Besitz des Anbieters gelangt.

Und auch bei Compliance-Themen wie der Datenschutz-Grundverordnung (DSGVO) bleiben Unternehmen selbst in der Pflicht. Sie müssen selbst dafür Sorge tragen, dass alle Vorgaben der DSGVO eingehalten werden, ganz egal, ob die Daten lokal oder in der Cloud liegen. Ausnahmen gibt es nur, wenn Cloud-Anbieter vertraglich zusichern, sich um die DSGVO-Compliance zu kümmern. Darüber hinaus sollten potentielle Cloud-Nutzer darauf achten, dass der Betreiber nach anerkannten Standards wie ISO 27000 oder BSI C5 zertifiziert ist.

Um die berühmt-berüchtigte Schatten-IT – also von Mitarbeitern ohne Wissen der IT-Abteilung genutzte Hard- und Software – per Cloud-Migration aus der Welt zu schaffen, dürfen Unternehmens- und IT-Verantwortliche bei der Auswahl der Cloud-Angebote nicht zu kurz denken. Denn wenn Mitarbeitern trotz Migration wichtige Werkzeuge wie Lösungen zur Team-Kommunikation oder dem Speichern von Dateien fehlen, buchen sie eben kurzerhand selbst die notwendigen Cloud-Dienste – ohne Wissen der IT. Unternehmensverantwortliche sollten dies aber tunlichst verhindern, da sich durch diese unkontrolliert verwendeten Dienste leicht Datenlecks auftun – und damit das Risiko eines Verstoßes gegen die DSGVO erhöht. Definieren Spezialisten für IT und Cybersicherheit die Ziele der Migration dagegen gemeinsam mit der Geschäftsführung, lassen sich solche Risiken weitgehend ausschließen.


Foto: pexels.com