Die Cloud ist der Treiber der digitalen Transformation, nicht nur für die internationalen Konzerne, sondern auch bei den mittelständischen Unternehmen. Der Paradigmenwechsel in der IT, weg vom Server- hin zum Service-Denken, beflügelt die Digitalisierung, und die Vorteile der Cloud werden zu Nachteilen für alle, die diese zukunftsweisende Technologie nicht nutzen. Die Vorbehalte gegenüber der Cloud sind aber vor allem bei kleinen und mittelgrossen Unternehmen immer noch gross. Die viel genannten Sicherheitsbedenken sind mögliche Datenlecks oder Datenverluste, die Gefahr durch einen Identitäts-, Credential- und Schlüsseldiebstahl oder das Account-Hijacking, die möglicherweise unsicheren User Interfaces (UIs) oder Application Programming Interfaces (APIs), ein Denial of Service oder moderne Angriffe wie Advanced Persistent Threats (APTs).
Strategie und Sicherheit
Natürlich gibt es nicht «die» sichere Cloud – ein Restrisiko bleibt immer, das ist bei On-Premise-Umgebungen nicht anders. Die Cloud ist aber auch nicht prinzipiell unsicherer als andere Infrastrukturen – die einzelnen Sicherheitsmassnahmen sind wie immer entscheidend. Und so steht am Anfang einer jeden Cloud-Entscheidung die Cloud-Strategie. Eine sorgfältige Analyse der vorherrschenden IT-Landschaft und der individuellen Cloud-
Treiber sowie der Ziele, die ein Unternehmen mit dem Weg in die Wolke verfolgt, sind Voraussetzung für jede strategische Entscheidung. Ein Unternehmen muss sich darüber im Klaren sein, wie sich die Cloud in die bestehende IT-Infrastruktur und Services integrieren lässt, welchen Nutzen die Cloud dem Unternehmen bringt, welchen Wert und welche Kritikalität die auszulagernden Services, Anwendungen und Daten haben.
Und die wichtigste Frage: Welche Risiken sind akzeptabel? Auch alle rechtlichen (zum Beispiel Datenschutz), organisatorischen (zum Beispiel IT-Reife) und technischen Rahmenbedingungen (zum Beispiel Internet-Performance) müssen in der Cloud-Strategie berücksichtigt werden. Machbarkeitsstudien und Wirtschaftlichkeitsanalysen beurteilen nicht nur die «Cloud-Reife» eines Unternehmens aus technischer Sicht, sondern prüfen auch, ob und in welchem Umfang das Geschäft eines Unternehmens mit Cloud Computing zusammenpasst und ob der Weg in die Cloud realisierbar sowie rentabel ist.
Sicherheitsrichtlinien
Entscheidet sich ein Unternehmen, den Einsatz von Cloud-Lösungen voranzutreiben, folgt darauf ein weiterer formaler Schritt: Die Sicherheitsrichtlinien mit den wichtigsten Angriffsvektoren und Sicherheitsanforderungen müssen formuliert werden. Nur mit einem professionellen Rahmenwerk zur Steuerung der IT-Sicherheit mit entsprechenden Richtlinien, Policies und Prozessen kann ein Unternehmen Sicherheitsrisiken richtig managen beziehungsweise kontrollieren – das gilt natürlich auch für die Cloud-Risiken und betrifft die Cloud-Nutzer genauso wie den Cloud Service Provider (CSP), denn beide müssen Informationssicherheit während des gesamten Service-Lebenszyklus gewährleisten und wissen, welche Sicherheitsmassnahmen zur Eindämmung der Risiken erforderlich sind, die sich durch die Migration von Infrastruktur, Anwendungen oder Daten in die Cloud ergeben. Die Anforderungen an die Informationssicherheit, aber auch die Verfügbarkeit des Cloud-Dienstes müssen demnach sehr genau auf den Schutzbedarf der auszulagernden Informationen, Anwendungen und IT-Systeme abgestimmt sein.