Kernprozesse in die Cloud verlagern

» Von Thomas Hafen, 08.02.2017 08:00.

weitere Artikel

Bildergalerie

Datenschutz und Compliance

Bei jeder Migration in die Cloud müssen regulatorische und gesetzliche Vorgaben beachtet werden. Gerade bei den Kernprozessen ist dies besonders kritisch, denn sie verarbeiten häufig sensible, personenbezogene Daten oder sind selbst Teil des geistigen Eigentums eines Unternehmens. Auch die Applikationssicherheit ist bei solchen Anwendungen besonders wichtig. Ein Einbruch könnte dem Angreifer sonst womöglich direkten Zugriff auf das Zentrum des Unternehmens erlauben. Compliance, Datenschutz und Sicherheit stehen deshalb an oberster Stelle, wenn es um die Frage der Migration einer unternehmenskritischen Anwendung in die Cloud geht. Vor allem amerikanische Cloud-Anbieter stehen unter dem Generalverdacht, dass sie es mit dem Datenschutz nicht so genau nehmen und aufgrund von gesetzlichen Vorgaben wie dem Patriot Act sogar verpflichtet sind, Kundendaten an US-Behörden und Geheimdienste herauszugeben.

Mit verschiedenen vertrauensbildenden Massnahmen versuchen sie, diese Bedenken zu zerstreuen. Amazon stellt beispielsweise in seinem Sicherheitszentrum unter www.aws.amazon.com/de/compliance und www.aws.amazon.com/de/security ausführliche Informationen über Zertifizierungen, Testate und Sicherheitsmassnahmen zur Verfügung. Microsoft hat mit Azure Deutschland sogar eine eigene Cloud für Deutschland mit T-Systems als Treuhänder geschaffen, um die Furcht vor unberechtigten Zugriffen zu zerstreuen. Rackspace bietet eine Compliance Assistance an, die bei der Umsetzung von Richtlinien helfen soll, und auch Google hält ausführliche FAQs zu den Themen Compliance und Sicherheit bereit.

Bei allen Sicherheitsmassnahmen, Zertifikaten und Audits muss dem Kunden jedoch klar sein, dass letztendlich er die Verantwortung sowohl für die Einhaltung der Richtlinien und Gesetze als auch für seine Applikationen trägt. Je nach Bereitstellungsmodell muss er selbst für die Sicherheit von Betriebssystem und Applikationen, Netzwerk und Firewall sorgen. «Wir geben ihm Schlüssel und Schloss in die Hand», sagt Constantin Gonzalez von AWS, «der Kunde muss selbst sicherstellen, dass an den richtigen Stellen auch abgeschlossen wird.» Für deutsche Kunden hat AWS ein Arbeitsheft erstellt, das zeigt, wie Anwender die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz-Richtlinien in der Cloud umsetzen können. Ohnehin ist nach Ansicht von Gonzalez die Frage, ob eine Infrastruktur im eigenen Rechenzentrum oder in der Cloud betrieben werde, gar nicht die entscheidende: «Compliance und IT-Sicherheit sind primär eine Frage der Prozesse.» So bleibt es letztlich auch dem Anwender überlassen, ob er den Zusicherungen der Cloud-Anbieter vertraut oder ob er alle Daten Client-seitig verschlüsselt und so dem Cloud-Anbieter prinzipiell die Möglichkeit nimmt, auf sensible Informationen zuzugreifen.

Nächste Seite: Fazit

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.