header_home_wuerfel_1920px.jpg

Trivadis TechTipps: Datenschutz und Datensicherheit in der Cloud

Florian_van_Keulen_Trivadis_500x500.jpgLetzte Woche fand in Nürnberg die europaweit größte Fachmesse zum Thema IT-Sicherheit statt. 490 Aussteller aus 19 Ländern präsentierten auf der it-sa 2016 den mehr als 10.000 Fachbesuchern ihre Lösungen zum Schutz vor Hacker-Attacken, fortschrittliche Methoden zur Malware-Erkennung, Maßnahmen gegen Ransomware und Vorkehrungen für die Sicherheit in der Cloud.

Nicht nur rein technische Maßnahmen, vor allem eine gute Planung und eine sorgfältige Bewertung der verschiedenen Service-Provider bereiten eine gute Ausgangslage für die sichere Migration in die Cloud. Damit Ihnen der Umstieg in die Cloud gelingt, habe ich hier meine 10 wichtigsten Tipps für Datenschutz und Datensicherheit in der Cloud zusammengestellt:

 

1. Vorüberlegungen anstellen

Es gibt unterschiedliche Beweggründe, in die Cloud zu gehen. Um den Umstieg sicher bewerkstelligen zu können, sind grundlegende Vorüberlegungen essentiell. Ein Unternehmen sollte sich also bereits im Vorfeld darüber im Klaren sein, was es in der Cloud betreiben möchte. Meistens geht es um zwei mögliche Szenarien, − die Modernisierung bestehender Systeme oder die Einführung eines neuen Services − für die sich wiederum unterschiedliche Folgeüberlegungen anschließen. Diese gilt es Schritt für Schritt zu durchleuchten.

2. Compliance und gesetzliche Anforderungen beachten

Gerade wenn die IT-Systeme in der Cloud betrieben werden, ist es enorm wichtig zu wissen, welche Richtlinien – dazu gehören die unternehmensinternen, gesetzlichen und vertraglichen Regelungen sowie Industrie- und Branchenauflagen − einzuhalten sind. Diese zu kennen, spart in der Einführungsphase viel Zeit und vor allem Nerven.

3. Daten kategorisieren

Die Datenkategorisierung ist ein essentielles Werkzeug, wenn es um Datenschutz und Datensicherheit geht. Dazu muss man wissen, welche Daten in der Cloud verarbeitet werden sollen und ob diese gewissen Compliance-Anforderungen unterliegen. Für sensible Personendaten gelten beispielsweise strenge Datenschutzregelungen, sie müssen entsprechend geschützt werden.

4. Provider mit Bedacht auswählen

Beim Cloud Computing vertraut man sich und seine Daten dem Provider an. Bevor sich ein Unternehmen also für einen Cloud Provider und diesen Vertrauenszuspruch entscheidet, sollte es verschiedene elementare Fragen und Anforderungen rund um die Sicherheit abklopfen. Ein weiterer wichtiger Punkt ist die Rückholbarkeit der Daten. Die sollte unbedingt gewährleistet sein.

TrafficLights_Cloud.jpg

Achtung! Fehlende Transparenz auf Seiten des Providers verheißt meist nichts Gutes für Unternehmensdaten in der Cloud.

5. Zertifizierungen und Gütesiegel prüfen

Um sich von der Qualität, der Sicherheit und den Prozessen des Providers zu überzeugen, können Zertifizierungen und Gütesigel herangezogen werden. Sie schaffen Transparenz. Allerdings sollte man hier genau hinschauen, auf welche Leistungen sich die jeweilige Zertifizierung bezieht.

6. Vertrag analysieren

Die Verträge der meisten Cloud Provider sind inzwischen standardisiert. Je größer ein Provider ist, desto weniger individuelle Gestaltungsmöglichkeit bieten die Verträge. Umso wichtiger ist es, zu prüfen, ob die Verträge den Anforderungen und Compliance-Richtlinien des Unternehmens entsprechen. Im Zweifel lohnt es sich immer, über die wichtigen Punkte zu verhandeln.

7. Wichtigkeit des Identity- und Access-Managements (IAM) erkennen

In der Cloud greifen die klassischen Sicherheitsparameter nicht mehr vollumfänglich, um den Zugriff auf Unternehmensdaten abzusichern. Es muss also ein durchgängiges Identity- und Access-Management (IAM) etabliert werden, das Vertraulichkeit, Datenintegrität sowie die Compliance sicherstellt.

8. Immer verschlüsseln und anonymisieren, wenn möglich

Neben dem Identity- und Access-Management stellt die Verschlüsselung der Daten den wohl wichtigsten technischen Sicherheitsmechanismus dar. Ein Cloud Provider, der keine Verschlüsselung anbietet, darf den Auftrag heute nicht mehr bekommen. Im Datenschutz-Umfeld kann unter Umständen die Anonymisierung eine zusätzliche Alternative sein. Anonymisierung hilft dabei, die Sensibilität der Daten zu minimieren.

9. Backup, Archive und Verfügbarkeiten nicht vernachlässigen

Eine 99,9-prozentige Verfügbarkeit des Services und der Daten macht eine eigene Backup-Strategie nicht überflüssig. Wichtig ist es auch an dieser Stelle wieder, die eigenen Anforderungen genau zu definieren und dann zu überprüfen, ob die vom Cloud Provider auch umgesetzt werden. Es ist zudem dringend anzuraten, sich nicht einfach blind auf den Cloud-Provider zu verlassen, zumal zum Beispiel Veränderungen, Manipulationen oder versehentliches Löschen der Daten durch den User nicht in der Verantwortung des Providers liegen.

10. Protokollieren, Überwachen und auf Audits vorbereitet sein

Durch die Beauftragung eines Cloud Providers delegiert ein Unternehmen die meisten der Protokoll- und Monitoring-Aufgaben. Diese müssen müssen aber auch überwacht werden. Schadensersatzansprüche können beispielweise nur geltend gemacht werden, wenn Ausfälle nachgewiesen werden. Ohne eigene Prüfmechanismen ist dieser Nachweis schwer möglich.

Fazit:

Gute Planung ist die halbe Miete. Durch grundlegende Vorüberlegungen, genaue Analysen der Ist- und der Sollwerte sowie das Abklopfen der Bedürfnisse können rechtliche Fallstricke gezielt umgangen werden und der richtige Dienstleister ausgewählt werden. Gepaart mit den technischen Vorkehrungen kann ein Unternehmen beruhigt und sicher in die Cloud starten.



Eine ausführliche Version des Artikels ist bei CloudComputing-Insider erschienen und kann dort nachgelesen werden.

Topics: Cloud Computing Trivadis TechTipps Sicherheit