2532847

Sicherheit in der Cloud: Es lohnt sich, die richtigen Fragen zu stellen

15.09.2020 | 13:31 Uhr | Jens Bothe

Ein Großteil der Büroarbeiter arbeitet immer noch von zu Hause und es stellt sich die Frage, ob das Home-Office dauerhaft etabliert werden kann. Mit diesem Fragenkatalog sind Unternehmen auf der sicheren Seite.

Laut aktueller OTRS-Umfrage glaubt die große Mehrheit der Befragten (83 Prozent), dass die Corona-Krise einen neuen Unternehmenstrend hin zu mehr Digitalisierung und Home-Office eröffnet hat. Fest steht also, dass IT-Systeme in Hinblick auf dauerhafte mobile Arbeit adaptiert werden müssen.

Dabei kommt auch dem Thema Sicherheit eine große Bedeutung zu. Viele Unternehmen denken nun verstärkt über einen Einstieg in die Cloud nach. Durch den flexiblen Zugriff, den Mitarbeiter auf die Daten in der Cloud haben – egal von wo, können sie in der Regel von zu Hause genauso effizient wie im Büro arbeiten und Unternehmen müssen keinen Produktivitätsverlust fürchten.

Eine Hürde beim Schritt in die Cloud besteht oft darin, dass Unternehmen glauben, sich von einem Hersteller abhängig machen zu müssen, da Cloud-Umgebungen in der Regel auf die Bedürfnisse eines Unternehmens abgestimmt sein müssen.

Größte Angst beim Wechsel in die Cloud: Sicherheit

Ein weiterer großer Knackpunkt, an dem die Einführung in die Cloud oft scheitert, ist das Thema Sicherheit. Erst vor kurzem hatte ich mit einem Unternehmen zu tun, das zum Bereich des Handels gehört. Aus Angst davor, dass Einkaufspreise in der Cloud nicht geschützt genug und für andere sichtbar sein könnten, hat es auf die Cloud verzichtet.

Der Umstieg auf eine cloudbasierte Lösung bedeutet in der Tat, die Kontrolle über die eigene Umgebung ein Stück weit aufzugeben, um Flexibilität und Skalierbarkeit zu erreichen. In der heutigen Welt, in der sich Cyber-Attacken weiterverbreiten, kann das durchaus eine schwierige Entscheidung sein.

Wie kritisch der Umgang mit Daten sein kann, zeigen immer wieder Beispiele aus den Medien, bei denen sensible Informationen durch Hacker-Angriffe plötzlich offengelegt werden und somit ein großer Schaden entsteht. Angesichts des Scheiterns des EU-US Privacy Shields, wodurch eine rechtliche Grundlage für den Datentransfer von der EU in die USA weggefallen ist, sowie die verstärkte Arbeit im Home-Office gewinnt das Thema Datensicherheit weiter an Brisanz.

Trotz des Kontrollverlusts und den Ängsten um Datensicherheit möchte ich Unternehmen in diesen Zeiten motivieren, den Schritt in die Cloud zu gehen, wenn er angesichts der Mitarbeiterinteressen und Unternehmensproduktivität sinnvoll ist.

Daher sollten sich Unternehmen vor der Entscheidung für einen cloudbasierten Serviceanbieter informieren, wie die eigenen Daten von externen Dienstanbietern verarbeitet werden. Dafür habe ich 12 Fragen zusammengestellt, die eine gute Orientierung bei der Wahl auf den passenden Dienstleister bieten:

12 Sicherheitsfragen an cloudbasierte Serviceanbieter

1. Haben Sie bereits Sicherheitsverstöße erlebt? Was ist passiert und was wurde unternommen, um das erneute Auftreten des Vorfalls zu verhindern? Wie ist Ihr Security Incident Management organisiert?

2. Welche Zertifizierungen liegen vor? Wie und wann werden Sie auf Compliance geprüft?

3. Wie werden Daten beim Austausch verschlüsselt? Wie werden gespeicherte Daten verschlüsselt? Wie häufig werden Schlüssel gewechselt oder aktualisiert?

4. Welche Backup-Verfahren gibt es? Sind Backups verschlüsselt?

5. Wo befindet sich das Data-Center? Welche Verfahren sind für die Sicherheit des Rechenzentrums implementiert? Zugangskontrolle? Brandschutz? Maßnahmen gegen Stromausfall?

6. Welche Authentifizierungsanforderungen wurden eingeführt?

7. Werden Protokolle aufbewahrt und wie lange? Wer hat Zugang zu diesen?

8. Welche Patch-Management-Prozesse haben Sie?

9. Wie wird die Datensegmentierung sichergestellt?

10. Was sind Ihre Überwachungsverfahren? Wie ist der Prozess zur Schadensbegrenzung und Benachrichtigung, wenn Angriffe identifiziert werden?

11. Werden Komponenten des Dienstes von Dritten bereitgestellt? Wenn ja, welche und welche Datenschutzaufwände betreiben diese?

12. Was passiert mit unseren Daten bei Beendigung des Vertrages?

Es gibt nicht immer die eine richtige Antwort auf die Fragen, aber wenn Unternehmen diese mit ihren potentiellen neuen Dienstleistern durchsprechen, bekommen sie ein gutes Gefühl dafür, wie es um den Datenschutz des Dienstleisters steht. Für den Auftraggeber besteht das Ziel also darin, die Sicherheitsstufe zu identifizieren, die er in der jeweiligen Situation benötigt, und diese mit den Antworten des Dienstleisters zu vergleichen. So können Unternehmen eindeutig beurteilen, ob die Sicherheitspraktiken des Anbieters das von ihnen benötigte Schutzniveau bieten. Alle Vereinbarungen zum Thema Datenschutz sollten vor der Zusammenarbeit auch vertraglich geregelt werden.

Bewusstsein für Cloud-Sicherheit schaffen – auch in anderen Abteilungen

Darüber hinaus sollte die Geschäftsleitung das Thema auch mit anderen Abteilungen diskutieren, damit sie erfahren, wie wichtig es ist, bei der Arbeit mit cloudbasierten Dienstleistern vorsichtig zu sein. Gezielte Trainings helfen dabei, ein Bewusstsein für risikoreiche Situationen zu schaffen. Nicht selten melden sich Mitarbeiter vorschnell für einen neuen Service / Tool an, da sie ihre Arbeit verbessern möchten und erkennen dabei nicht das Sicherheitsrisiko, das damit verbunden sein könnte. Sinnvoll ist ein Prozess, der sicherstellt, dass ein IT-Team routinemäßig an der Entscheidungsfindung bei der Anmeldung für neue cloudbasierte Dienste teilnimmt.

Auch wenn das Evaluieren der Sicherheitsaspekte zeitaufwändig erscheinen mag, lohnt es sich. Es ist für die meisten Unternehmen zu aufwändig, die Leistungen der Cloud-Anbieter wie ein 24-Stunden-Monitoring oder die physische 24/7 Sicherheit für ein Rechenzentrum selbst abzudecken. Auch das Preismodell nach verbrauchten Ressourcen beziehungsweise pro Anwender kann sehr vorteilhaft sein.

Trotz Sicherheitsbedenken steigt der Absatz für Cloud-Lösungen: Eine Prognose der IT-Marktforscher Gartner geht davon aus, dass der weltweite Markt für Cloud-Computing bis ins Jahr 2021 auf 278,3 Milliarden US-Dollar anwachsen wird.

Fazit: Ein Schritt in die Cloud kann also gerade in Hinblick auf die dauerhafte mobile Arbeit durchaus sinnvoll sein – aber nur mit entsprechendem Sicherheitscheck vorab.

PC-WELT Marktplatz

2532847