Sicherheits-Boost für die Cloud Starker Aufwind für die Wolke
3. September 2017Mehr und mehr Unternehmen lagern ihre Daten mittlerweile in der Cloud aus. Damit einhergehend gewinnt auch die Cloud Compliance einen immer höheren Stellenwert –zumindest sollte sie das. Denn kleinere und mittlere Unternehmen lassen sich immer noch zu viel Zeit, um das Thema anzugehen. Das kann sie teuer zu stehen kommen, denn auch dann, wenn Daten outgesourct werden, bleibt nach wie vor das auftraggebende Unternehmen verantwortlich für sie. Deshalb sind Firmen verpflichtet, zu überprüfen, ob ihr Cloud-Anbieter den technischen, rechtlichen, datenschutzrechtlichen und vertraglichen Sicherheitsvorgaben genügt. Und hier gilt: Je eher sie damit starten, desto zukunftssicherer sind sie aufgestellt.
Notfallprogramm
Höhere Flexibilität, geringere Kosten und ein extrem reduzierter Verwaltungsaufwand – die Vorteile von Cloud Computing sind offensichtlich. Zugleich aber verlieren die Unternehmen ein Stück weit die Kontrolle über ihre Daten, wenn sie diese in die Hände eines externen Cloud-Anbieters geben. Deswegen gilt: Je sensibler die Unternehmens- und Kundendaten, desto stärker müssen die Sicherheitsmaßnahmen sein – und diese müssen überprüft werden. Findet das nicht statt, haftet der Geschäftsführer.
Im Grunde genommen greifen bei der Cloud Compliance dieselben Sicherheitsvorgaben wie bei der IT Compliance, wenn die Daten im hauseigenen Rechenzentrum liegen. Fragen, die es zu klären gilt, sind beispielsweise: Bei welchen Daten muss höchste Sicherheitsstufe gelten? Wie sieht das Notfall-Programm aus, d.h. was passiert, wenn Dritte an unternehmenskritische Daten wie z.B. Forschungsergebnisse kommen? Weitergehende, speziell die Cloud Compliance betreffende Fragen sind: Wer hat im Rahmen der Administration seitens des Cloud-Providers wo, wann und wie lange Zugriff auf welche Daten? Wie verhält es sich mit Verschlüsselung und Back-up-Prozessen?
Ein zentraler, da überaus kritischer Teil der Security-Vereinbarung mit einem Dienstleister betrifft nicht zuletzt die Datenlöschung: Werden die Daten fristgerecht gelöscht? Was passiert überhaupt nach Vertragsende mit den Daten? Um sich abzusichern, empfehlen Experten sich monatliche Sicherheitsreports des Dienstleisters geben zu lassen, die über Sicherheitsniveau und Reifegrad des Services Auskunft geben. Kurzum: Wenngleich auch recht komplex, ist Cloud Compliance alles in allem kein Zauberwerk. Aber ausgerechnet beim Mittelstand, als vielfach beschworenes Rückgrat der deutschen Wirtschaft, zeigt sich bei diesem Thema vielerorts eine offene Flanke. Zwar gibt es überall ein Mindestmaß an Compliance, doch nur selten wird die Sache systematisch und kontinuierlich verfolgt.
Häufig fehlen Ressourcen, bisweilen Know-how und manchmal schlichtweg die Sensibilisierung dafür, dass überhaupt gehandelt werden muss. Doch eine (zu) phlegmatische Haltung in Sachen Cloud Compliance kann schnell ins Geld gehen – vom drohenden Imageverlust, wenn die Sache ruchbar wird, ganz abgesehen. Es können empfindliche Strafen seitens des Gesetzgebers und Schadenersatzforderungen geschädigter Kunden drohen, wenn nicht ausreichende Schutzvorkehrungen getroffen wurden.
Compliance als stetiger Prozess
„Besonders kleinere und mittlere Unternehmen, die nicht wie große Konzerne über die Ressourcen verfügen, sich ausführlich mit Cloud Compliance auseinander zu setzen, sollten sich hier externe Hilfe holen“, empfiehlt Bernd Usinger, Vorstand von Gebhardt Sourcing Solutions, die sich auf IT-Strategieberatung spezialisiert hat. „Das hat auch den Vorteil, dass das Thema ganzheitlich und kontinuierlich angegangen werden kann.“ Denn IT- und damit Cloud-Compliance, bedeutet stetige Weiterentwicklung, um Prozesse zu optimieren und um unternehmensdefinierte Sicherheitsmaßnahmen an sich ständig ändernde Datenschutzbestimmungen.
Das Stuttgarter IT-Beratungsunternehmen sichert seine Kunden mit speziell für den Mittelstand entwickelten Analyse-Tools ab. Eine Methodik, wie sie beispielsweise dem Gebhardt IT-Framework-Rating zugrunde liegt, erlaubt es, die gesamte IT-Landschaft systematisch zu untersuchen und mit den Unternehmensprozessen abzugleichen. Sogenannte Prozess-Landkarten geben Aufschluss über Schwachstellen und Optimierungspotenziale.
Die Verantwortlichen erhalten so einen transparenten Überblick darüber, was bisher getan wurde und was in Zukunft zu tun ist, um z.B. gesetzlichen und vertraglich vereinbarten Standards in puncto Cloud Compliance zu genügen. „Da unser Check auf der anerkannten ‚Business Level Classification‘ basiert, können unsere Kunden ihre IT, einschließlich der IT-Security-Prozesse nach unserer Basis-Analyse, später selber prüfen“, so Usinger. Schließlich kann nicht alles so einfach überprüft werden, wie die Gültigkeit eines Security-Zertifikats (wie z.B. ISO/IEC27001) des Cloud-Providers, das Auskunft darüber gibt, ob das versprochene Sicherheitsniveau auch tatsächlich eingehalten wird.
KMUs, die besonders stark vom Outsourcing in die Wolke profitieren, da die Cloud-Anbieter im Regelfall eine deutlich höhere Compliance garantieren können als sie selbst, müssen ihre IT Compliance so anpassen, dass es möglich ist, die vereinbarten und geforderten Sicherheitsvorkehrungen des Dienstleisters kontinuierlich zu überprüfen. Spätestens dann erhalten auch Mittelständler in Sachen Cloud Compliance gehörig Aufwind in der Wolke. (rhh)
Hier geht es zu Gebhardt Sourcing Solutions
Hier geht es zu Broker2Clouds