Fünf Best Practices garantieren sicheren Einstieg in die Cloud
12. August 2015Es gibt in Deutschland einen erheblichen Bedarf an Cloud-Lösungen. Vor allem Mittelständler sehen sich mit wachsenden IT-Herausforderungen wie einer steigenden Komplexität der IT, beschränkten IT-Budgets und einem Mangel an IT-Fachkräften konfrontiert. Statt weiterhin umfangreiche Infrastrukturen und alle Applikationen in einem Rund-um-die-Uhr-Betrieb selbst zu betreuen, entscheiden sich Unternehmen zunehmend für eine Auslagerung von IT-Systemen in eine sichere Cloud. Aus einer Vielzahl von Projekten, die QSC in den letzten Jahren durchführte, haben sich fünf Best Practices für den sicheren Einstieg in die Cloud herauskristallisiert.
Eine Bestandsaufnahme der IT-Infrastruktur durchführen: Am Anfang steht eine Ist-Analyse der vorhandenen Applikationslandschaft. Als Ergebnis liefert sie einen Überblick über die in einem Unternehmen eingesetzten Standardpakete, beispielsweise von Microsoft oder SAP, sowie die Individual-Applikationen, die in physischen und virtualisierten Umgebungen genutzt werden. Eine solche Ist-Analyse hat zudem den angenehmen Nebeneffekt, dass dabei nicht mehr verwendete Programme aufgespürt und deinstalliert werden können. Das macht die Applikationslandschaft schlanker und spart Lizenzkosten.
Geeignete Applikationen für eine Migration in die Cloud ermitteln: Sehr häufig existiert, vor allem im Mittelstand, eine komplexe, über viele Jahre entstandene IT-Infrastruktur, bei der die Anwendungen vielfältig miteinander verflochten und zum Teil voneinander abhängig sind. Dieses komplexe Beziehungsgeflecht muss offengelegt werden, damit klar wird, welche Auswirkungen es hat, wenn bestimmte Applikationen und deren Daten ausgelagert werden. Darüber hinaus sind in Branchen wie dem Finanzsektor oder dem Gesundheitswesen detaillierte regulatorische und Compliance-Gesichtspunkte zu berücksichtigen.
Einen qualifizierten Cloud-Provider auswählen: Wenn es um Datensicherheit und Datenschutz geht, sollten Unternehmen keine Kompromisse eingehen und sich für einen Partner entscheiden, dessen Rechenzentren ausschließlich in Deutschland betrieben werden. Nur eine Kombination aus deutschem Betreiber und dem Hosting in Deutschland sorgt dafür, dass für personenbezogene Daten ausschließlich das Bundesdatenschutzgesetz gilt. Ist der Betreiber eine US-Firma, erhalten die US-Behörden auch Einblick in deren hiesige Rechenzentren. Eine zusätzliche Sicherheit ergibt sich dann, wenn der Internetzugang und Datentransport über das eigene Netz eines Cloud-Providers erfolgt.
Einen genauen Einblick in das IT-Sicherheitskonzept des Providers erlangen: Der Cloud-Provider muss nachweisen, dass er über ein umfangreiches und zuverlässiges IT-Sicherheitskonzept verfügt. Dieses muss alle Aspekte berücksichtigen, die die Integrität und Vertraulichkeit der personenbezogenen Daten gefährden könnten. Dazu gehören die regelmäßige, systematische Überwachung aller Infrastrukturkomponenten sowie die Aufzeichnung und Auswertung aller Logfiles. Ein wichtiger Beleg für die Einhaltung hoher IT-Sicherheitsstandards sind Referenzprojekte und vor allem formelle Zertifizierungen nach ISO/IEC 27001. Ein Cloud-Provider dokumentiert damit, dass er die dazu notwendigen, anspruchsvollen Maßnahmen bezüglich seines Informationssicherheits-Managements umgesetzt hat und deren Einhaltung immer wieder von externen Prüfern bestätigen lässt.
Bei besonders hohen Anforderungen Daten verschlüsselt übertragen: Werden vertrauliche Daten in die Cloud verlagert, sollten Unternehmen vorab prüfen, welche Möglichkeiten der Cloud-Provider für eine Verschlüsselung anbietet. Eine reine Transportverschlüsselung mit HTTPS und SSL ist für die hohen Anforderungen der Revisions- und Rechtssicherheit nicht ausreichend. In solchen Fällen ist eine Ende-zu-Ende-Verschlüsselung notwendig; das heißt, sie beginnt auf dem Endgerät des Versenders und umfasst den gesamten Übertragungsweg bis hin zum Cloud-Provider. Dieser sollte für eine zusätzliche Sicherheit sorgen, indem er die Daten der Kunden auch auf seinen Speichersystemen verschlüsselt ablegt. (rhh)
Hier geht es zu QSC