Datenschutz-Management
- damit Kundendaten den Kunden geh�ren!
Informations-sicherheit
- damit Wichtiges sicher bleibt!
Risiko-
management
f�r Praktiker
ohne Nebenwirkungen

Mit Sicherheit in die Cloud

Cloud-Dienste bieten neue innovative Möglichkeiten im IT Umfeld und versprechen Kosten einzusparen. Vielfach wird das auch eingehalten. Die Chancen und Risiken der Cloud-Nutzung sowie die effektiven Kosten müssen sachlich und nachvollziehbar erhoben, bewertet und klug abgewogen werden. Cloud-Computing zu nutzen ist eine strategische Entscheidung. Auf der Arbeitsebene besteht der Bedarf an Cloud-Diensten. Aber die Möglichkeit Cloud- Dienste effizient und sicher einzuführen hat nur das Management.

Die technische Umsetzung ist gar nicht so schwer, aber organisatorisch bleibt es immer ein Aufwand. Hierfür ist ein Prozess von der ersten Planung bis zur Einführung notwendig.  Denn das größte Risiko bei Cloud-Computing ist die Planung.

Risikoanalyse

Entscheidend für die Definition der Anforderungen an einen Cloud-Dienst ist die Feststellung des
Schutzbedarfs (bei Eintritt eines Schadens) der zu verarbeitenden Informationen. Die Einteilung sollte mindestens drei Kategorien (den der Verlust, die Veränderung oder die Nicht-Verfügbarkeit der Informationen) haben.  Es ist wichtig, zwischen Vertraulichkeit, Integrität und Verfügbarkeit zu unterscheiden. Informationssicherheit basiert immer auf einem Risiko-Managementprozess.
In dieser groben Risikoanalyse sollen mindestens folgende Gefährdungen betrachtet werden:

• Zugriff auf die Daten durch den Cloud-Anbieter
• Zugriffsmöglichkeiten durch staatliche Behörden aufgrund der (ggf. ausländischen) Jurisdiktion, die für den Cloud-Anbieter zutrifft
• Nicht-Verfügbarkeit der Daten und Dienste
• Kompromittierung der Authentisierung
• Datenverlust
• Datenmanipulation

Ein für alle Anwendungsfälle sicheres Cloud-Computing durch externe Cloud-Anbieter gibt es nicht.

Informationssicherheit und die Verfügbarkeit des Cloud-Dienstes


Sicherheitsanforderungen sind nicht nur vom Cloud-Anbieter zu verstehen, sondern auch von der eigenen Institution. Zudem müssen Anforderungen aus den rechtlichen Rahmenbedingungen beachtet werden. Wer bisher keine eigenen Sicherheitsanforderungen aufgestellt hat, dem wird es schwerfallen, dem Cloud-Anbieter konkret zu sagen, was er von ihm erwartet. Ohne dieses Wissen wird es schwierig vom Cloud-Anbieter eine „sichere“ und „immer verfügbare“ Cloud abzufordern. Entweder reicht das Sicherheitsniveau nicht aus oder die angebotene Lösung ist zu teuer.


Erstellen der Sicherheitsrichtlinie


In der Sicherheitsrichtlinie müssen die wichtigsten Angriffsvektoren und Sicherheitsanforderungen aufgeführt werden. Sollten die Sicherheitsanforderungen so hoch sein, dass sie mit einer Cloud-Nutzung nicht zu erfüllen sind, ist der Prozess zur Cloud-Nutzung abzubrechen.
Können die Sicherheits-Anforderungen mit einer Public Cloud-Lösung nicht erreicht werden, ist nach Rücksprache mit den Entscheidungsträgern das Projekt einzustellen oder zu prüfen, ob auch eine Community Cloud oder auf eine Private Cloud verwendet werden kann.

Planung


Die Zeit zwischen der Entscheidung für einen Cloud-Dienst und seiner Einführung soll möglichst kurz sein. Deshalb ist vorab zu überlegen, welche Änderungen sich bei Nutzung des Cloud-Dienstes für die bestehende IT ergeben.
Wichtige Aspekte bei der Planung der Nutzung sind:

• Anpassung der Schnittstellensysteme wie, Proxys, Router, Sicherheitsgateways und weitere wichtige Systeme.
• Analyse, ob die vorhandenen Schnittstellensysteme mit dem Cloud-Service interoperabel sind und / oder ob neue Schnittstellensysteme benötigt werden.
• Kalkulation der Netzlast und Überprüfung, ob die bestehende Netz-Performance ausreicht.
• Das Administrationsmodell sowie das Benutzer- und Berechtigungsmodell müssen an den Cloud-Dienst angepasst werden.

Sicherheitskonzept


Im Sicherheitskonzept sind alle sicherheitsrelevanten Punkte der IT niedergeschrieben. Es ist das zentrale Dokument, mit dem eine Institution seine Informationssicherheit festlegt. Diese dient der Dokumentation der notwendigen Sicherheitsmaßnahmen und muss für die Cloud-Nutzung überarbeitet werden.  Sowohl der Cloud-Anwender als auch der Cloud-Anbieter und ggf. auch der Netz-Anbieter benötigen ein Sicherheitskonzept. Der Anbieter sollte dem Cloud-Anwender auf Anfrage Einsicht gewähren.  Im Sicherheitskonzept für die Cloud-Nutzung sollte zusätzlich die besondere Gefährdungslage durch die Erbringung als Cloud Service beschrieben werden.

Kosten-Nutzen-Analyse


Wenn man sich für eine geeignete Lösung entscheidet, ist eine detaillierte Kosten-Nutzen-Analyse durchzuführen. Diese muss auch Kosten für Migration, Anpassungen, Schulungen und Aufrechterhaltung des Betriebs enthalten. Ebenso sollte diese Analyse Kosten betrachten, die beim Beenden des Vertragsverhältnisses mit dem Cloud-Anbieter entstehen. Die Angebote des Clouddienstes müssen den wirtschaftlichen Erwartungen entsprechen.

Datenschutz


Werden in der Cloud personenbezogene Daten erhoben, verarbeitet oder genutzt, muss der Schutz personenbezogener Daten gemäß den datenschutzrechtlichen Bestimmungen gewährleistet sein. Neben datenschutzrechtlichen Anforderungen muss der Cloud-Nutzer die geforderten rechtlichen Bestimmungen einhalten (Compliance). In allen Fällen gilt, dass bei einer Verarbeitung solcher Daten in einer Cloud die Verantwortung (in der Regel) beim Cloud-Nutzer bleibt und er sicherstellen muss, dass die Daten beim Cloud-Anbieter gemäß diesen Vorschriften und Gesetze behandelt werden. ISO/IEC 27018:2014, Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors [12])


Die CETUS Consulting GmbH pflegt ein intensives Netzwerk zu Fachkollegen und Fachgesellschaften. Wir unterstützen Sie gerne in jeder Lage. Sprechen Sie uns an! Mehr unter info@cetus-consulting.de.
Kontakt
Adresse:
Nevinghoff 16
48147 M�nster
Social Media






Ihre Nachricht
Name:*       Treten Sie mit uns in Kontakt!
Wir werden uns umgehend bei Ihnen zurückmelden.


E-Mail:* 
Anfrage: