Die sichere Cloud ist kein Hexenwerk

Die digitale Transformation ist ohne Cloud nicht möglich, egal, wie gross ein Unternehmen ist. Cloud-Technologien liefern die technologischen Bausteine für hocheffiziente Geschäftsprozesse, deshalb bezieht nahezu jedes Unternehmen Anwendungen, IT-Infrastrukturleistungen und -Sicherheitslösungen heute aus der Cloud. Während einige nur punktuell Cloud-Services nutzen, gehen andere strategisch vor: Sie betten ihre Cloud-Entscheidung in eine umfassende Cloud-Strategie ein. Zur Vorbereitung gehören eine genaue Bestandsaufnahme der IT-Landschaft und eine Festlegung der Ziele, die mit der Cloud erreicht werden sollen. Daraus ergeben sich Kriterien dafür, welche Applikationen, Daten und
Dienste in die Cloud verlagert und welche im eigenen Rechenzentrum verbleiben sollen. Zusätzlich zu den technologischen sind organisatorische und rechtliche Vorgaben zu berücksichtigen. Das heisst vor allem, dass man sich überlegen sollte: Welche Sicherheitsanforderungen an die Cloud müssen erfüllt sein?

Dazu ist es erforderlich, dass sich Entscheiderinnen und Entscheider der Unternehmen mit den Cloud-spezifischen Risiken und den zur Verfügung stehenden Sicherheitsmassnahmen befassen. In manchen Firmen gehören Risikoanalyse und -management zum Alltag, in vielen Branchen sind sie sogar gesetzlich vorgeschrieben. Eine Erfassung und Bewertung der Sicherheitsrisiken sowohl aufseiten der Cloud-Anbieter als aufseiten der Cloud-Nutzer ist unerlässlich. Beide müssen über den gesamten Verlauf eines Cloud-Computing-Vertrags die Informationssicherheit gewährleisten und wissen, welche Massnahmen zur Risikobeherrschung bei einer Migration in die Cloud benötigt werden. Die Anforderungen an die Informationssicherheit ergeben sich aus dem Schutzbedarf der ausgelagerten IT-Infrastruktur, Applikationen und Daten.

Zunächst einmal gilt: Die im eigenen Rechenzentrum betriebene IT-Landschaft ist nicht automatisch sicherer als die in einer Cloud. Bei der Suche nach der passenden Sicherheitslösung spielen Datenschutz und IT-Sicherheit eine herausragende Rolle, damit die Daten in der Cloud mindestens so sicher sind wie On-Premise. Selbst unternehmenskritische Daten wie Rezepturen, Produktionspläne oder andere Informationen, die auf keinen Fall einem Wettbewerber in die Hände fallen dürfen, können heute in die Public Cloud verlagert werden. Die anfänglichen Bedenken bezüglich der Sicherheit sind in der Zwischenzeit auch bei Branchen wie Banken und Versicherungen, wo es hohe Auflagen zur Datenverarbeitung und -kontrolle gibt, ausgeräumt. Allerdings müssen dazu sowohl beim Auftraggeber als auch beim Cloud-Provider entsprechende ITSicherheits-sowie -Schutzmassnahmen implementiert und fortlaufend überprüft werden. Dazu gehören zum Beispiel als Grundbestandteile ein effizientes Identity & Access Management and Control, Verschlüsselung der Geschäftsdaten und ein Log-Management.

Schliesst ein Unternehmen einen Vertrag mit einem Cloud-Provider, muss es wissen, wo sich die Daten befinden. Ausserdem sollte es prüfen, ob die standardmässig angebotenen Sicherheitsservices des Providers die eigenen Sicherheitsstandards erfüllen oder ob zusätzliche Massnahmen entweder vom Cloud-Provider oder auch vom Auftraggeber selbst zu implementieren sind. Das gilt etwa auch für das Thema Sicherheitsrisiken.

Die Information Security Governance verfolgt in diesem Zusammenhang massgeblich zwei Ziele: Sie soll erstens die Verlässlichkeit des IT-Betriebs sicherstellen und dazu die Vorgaben aus dem Continuity, Disaster Recovery und Information Security Management umsetzen. Zweitens soll Information Security Governance die Beherrschbarkeit der IT in heterogenen Systemlandschaften, bei steigender Komplexität und einem hohen Kostendruck sicherstellen.

Um die Sicherheitsrisiken in der Cloud effizient verwalten und kontrollieren zu können, ist ein leistungsstarkes Rahmenwerk mit Richtlinien, Policies und Prozessen erforderlich. Diese Anforderung gilt sowohl für Cloud-Provider als auch für Cloud-Nutzer. Nur mit einem solchen Rahmenwerk sind Unternehmen und Cloud-Provider gemeinsam in der Lage, die organisatorischen und technologischen IT-Sicherheitsmassnahmen zur Beherrschung der Risiken zu definieren, umzusetzen und zu überwachen.

Vor einer Migration ausgewählter Teile ihrer IT-Landschaft müssen Unternehmen sich einen Einblick in die für sie geltenden branchenspezifischen, nationalen und internationalen Vorschriften zur Erfassung und Nutzung personenbezogener Daten verschaffen. Viele haben zusätzlich auch interne Compliance-Regeln definiert, die dann natürlich auch für den Cloud-Provider gelten müssen.

In einem ersten Schritt sollten Unternehmen ermitteln, wo sich bislang die auszulagernden Daten befinden und welche davon eines besonderen Schutzes bedürfen. Der Cloud-Provider und ebenso das Unternehmen, das Daten auslagert, müssen alle gesetzlichen und regulativen Anforderungen erfüllen – inklusive der neuen europäischen Datenschutz-Grundverordnung (EU-DSGVO) zum Schutz personenbezogener Daten. Zum Thema «Auftragsverarbeiter», dem Cloud-Provider also, sagt der Gesetzestext: «Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Massnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.»

Zu den hinreichenden Garantien zählen beispielsweise dokumentierte – und regelmässig zu aktualisierende – Regeln und Datenschutz-Zertifizierungsverfahren. Eine wichtige Rolle spielt hier beispielsweise das Trusted-Cloud-Datenschutz-Profil (TCDP), das im Hinblick auf die EU-DSGVO entwickelt wurde. Unternehmen, die sich für einen Cloud-Provider entscheiden, der über eine TCDP-Zertifizierung verfügt, sind auf der sicheren Seite.

Nicht erst seit der DSGVO, bei der ein Incident-Response-Plan verpflichtend ist, sollte jedes Unternehmen über einen Incident-Response-Plan verfügen – das gilt natürlich auch für Cloud-Provider, mit denen Unternehmen zusammenarbeiten. In diesem Plan müssen rasche und effektive Reaktionen auf Sicherheitsvorfälle geregelt sein. Der Incident-Response-Plan ist Teil eines detaillierten Service Level Agreements (SLA). In diesem Response-Plan legen Auftraggeber und Cloud-Provider fest, wer bei einem Cloud-Sicherheitsvorfall für welche Aufgaben zuständig ist. Notwendig ist dazu eine schriftliche Dokumentation darüber, was wann im Ereignisfall zu geschehen hat.

Trotz aller Sicherheitsvorfälle, auf die sich alle Beteiligten entsprechend vorbereiten müssen, sind Cloud-Technologien wichtige Katalysatoren für die digitale Transformation. Fast täglich entstehen neue Cloud-Services, etwa aus den Bereichen künstliche Intelligenz, maschinelles Lernen oder Blockchain as a Service, die Unternehmen bei ihrem digitalen Wandel voranbringen. Während vor einiger Zeit die Sicherheitsvorbehalte und Risiken in den Cloud-Debatten im Vordergrund standen, hat sich das Bild in der Zwischenzeit gewandelt. Heute sieht die Mehrheit der Unternehmen im Cloud Computing eher die damit verbundenen Chancen. Unterstützt durch einen erfahrenen IT-Security-Spezialisten gelten die Sicherheitsanforderungen in der Cloud heute als beherrschbar.