Reflexartige Ängste wegen Sicherheitsdefiziten in Public Clouds mögen naiv sein, dennoch bieten Public- und Hybrid-Clouds Anlass für Risiko- und Compliance-Überlegungen. Es lauern Herausforderungen, die sich vom Ausmass her – und manchmal auch der Art nach – von einem traditionellen, internen Serverpark unterscheiden.
Sicherheitsaspekte
Ein klarer Projektbeschrieb mit Massnahmen und Zielen ist wichtig. Gut geplant und konsequent umgesetzt können insbesondere auch KMU das «Abenteuer» Cloud angehen. Firmen sollten folgende sieben Aspekte berücksichtigen:
Gemeinsam Verantwortung übernehmen
Es ist wichtig zu verstehen, für welche Bereiche einer Public Cloud eine Organisation zuständig ist. Vor allem die Art der genutzten Services definiert den Verantwortungsbereich. Bei Infrastructure-as-a-Service ist bei der Beschaffung und der Pflege von Betriebssystem und Applikationen dieselbe Sorgfalt geboten wie beim Betrieb auf dem eigenen Server – selbst wenn ein externer Partner die Rechner, Speichersysteme und das Netzwerk betreibt. Beim Bezug von Software-as-a-Service übernimmt der Anbieter mehr Verantwortung. Daten und Dienstleistungen werden in Zukunft immer öfter hybrid verteilt sein oder sogar aus unterschiedlichen Public Clouds bezogen. Das KMU als Auftraggeber ist aber nach wie vor für den gesicherten Zugriff sowohl auf organisationsinterne Informationen als auch auf die vertraulichen Kundendaten zuständig und verantwortlich.
Ein Verständnis für alle potenziellen Risiken entwickeln
Auf dem Markt ist eine Vielzahl von Frameworks verfügbar, die IT-Führungskräfte und -Architekten bei der Evaluation und der Abwehr von Risiken unterstützen, welche mit der Nutzung von Public Clouds verbunden sind. Diesbezügliche KMU-Projekte sind ähnlich gelagert, somit muss das Rad nicht jedes Mal neu erfunden werden und die Frameworks bieten eine nützliche Hilfestellung. Ein gutes Beispiel dafür ist die Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA). Die CSA CCM bietet ein Rahmenwerk für 16 IT-Betriebsbereiche, einschliesslich Sicherstellung des kontinuierlichen Geschäftsbetriebs und Ausfallsicherheit im Betrieb, Verschlüsselung und Schlüssel-Management, Identitäts- und Zugriffsmanagement, mobile Sicherheit sowie den Umgang mit Bedrohungen und Sicherheitsrisiken. CCM Version 3.0.1 definiert insgesamt 133 Steuerelemente und stellt einen Zusammen-
hang zwischen diesen und anderen in der Industrie anerkannten Sicherheitsstandards, Regelungen und Rahmenwerken wie ISO 27001/27002, ISACA COBIT oder PCI her.
Bestehende Best-IT-Practices anwenden
Die Bereitstellung von Services im Rahmen hybrider Architekturen lässt sich auch über eher traditionelle IT-Methodologien regeln. Die ITIL-Service-Strategy beispielsweise ist eines von fünf ITIL-Lifecycle-Modulen. Sie bietet Leitlinien für den Entwurf, die Entwicklung sowie die Einführung einer Service-Provider-Strategie und orientiert sich an der Unternehmensstrategie des KMU. Unternehmen können damit die ITIL-Verfahren bei der Konzeption geeigneter End-to-End-Services für eine Hybrid IT heranziehen. Obwohl ITIL-Implementierungen oft als übermässig bürokratisch und aufwendig gelten, lassen sich dennoch viele der grundlegenden Prinzipien auch bei modernen Cloud-nativen Architekturen anwenden.
Einen geschäftszentrierten Ansatz für IT-Sicherheit einführen
Sicherheit ist nicht allein ein Technologieproblem, sondern muss auch vor dem betriebswirtschaftlichen Hintergrund betrachtet werden. Dazu gehört beispielsweise eine Definition der Geschäftsrisiken im Hinblick auf die Verlusttoleranz. Ein Kreditkartenunternehmen weiss, dass es Verluste aufgrund von Betrug geben wird. Eine Alternative wäre, die Verwendung von Kreditkarten so beschwerlich zu gestalten, dass sie kaum einer mehr nutzt. Das Ziel sollte es aber sein, Kontrollmechanismen einzuführen, die den Einsatz von Kreditkarten so einfach wie möglich gestalten und gleichzeitig die Verluste so gering wie möglich halten. Jedes Unternehmen sollte die Balance zwischen der kundenfreundlichen Dienstleistung und dem Sicherheitsrisiko ausbalancieren.