Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

AUTOMATE IT 2017
28.09.17 - 28.09.17
In Darmstadt

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

3. Esslinger Forum: Das Internet der Dinge
17.10.17 - 17.10.17
In Esslingen

Transformation World
19.10.17 - 20.10.17
In Heidelberg

Cloud ServerBei der Auslagerung ausgewählter Applikationen an einen Cloud-Provider spielen dessen technische Kompetenz und die Erfüllung der datenschutzrechtlichen Anforderungen eine entscheidende Rolle. 


Cloud Computing ist im Alltag der Unternehmen angekommen. In unterschiedlichen Facetten und Varianten haben einzelne Fachabteilungen heute schon vielfältige Cloud-Services im Einsatz. Der Vertrieb nutzt Salesforce, die IT greift bei der Softwareentwicklung auf die Rechenkapazitäten von Cloud-Providern zu, aber auch die Basisdienste eines Büroarbeitsplatzes wie E-Mail und Terminplanung finden zunehmend Interesse. Deutlich zögerlicher sind Unternehmen bei der Auslagerung von ERP-Systemen zur Steuerung und Planung ihrer betriebswirtschaftlichen Prozesse. Sie erwarten dabei die hohe Sicherheit der klassischen IT aus ihrem Rechenzentrum kombiniert mit der Flexibilität und Effizienz von Cloud-Services.

Wenn es um die Auslagerung von Teilen der IT-Systemlandschaft an einen Cloud-Provider geht, muss dieser hohe Anforderungen erfüllen. Er muss in der Lage sein, Geschäftsprozesse effizienter zu unterstützen, damit Unternehmen flexibler auf neue Herausforderungen reagieren können. Voraussetzung dafür ist die Einhaltung höchster Sicherheitsstandards und der Schutz personenbezogener Daten. 


Datenschutz und Datensicherheit in der Cloud haben Priorität, ohne sie wird es keine Migration geben. Die notwendigen Vorgaben und Erwartungen müssen bereits im Auswahlprozess für einen Cloud-Provider geklärt, in der Planungsphase definiert, bei der eigentlichen Migration umgesetzt und im Betrieb fortlaufend überprüft werden. 


Grundlage der technischen IT-Sicherheit


Die Fundamente der technischen IT-Sicherheit stellt ein Cloud-Provider durch die Implementierung eines Information-Security-Management-Systems (ISMS) sicher. Ein wichtiges erstes Auswahlkriterium aus Sicht eines Unternehmens ist der Check, ob die Rechenzentren des Cloud-Providers nach ISO/IEC 27001 zertifiziert sind. Für Interessenten ist dies ein bedeutendes Indiz, dass der Cloud-Provider die erforderlichen Maßnahmen zur Einhaltung und ständigen Verbesserung der Informationssicherheit umgesetzt hat. 


Cloud-Provider definieren in einem ISMS Verfahren und Regeln, mit denen die Sicherheit der Informationen in einem Rechenzentrum dauerhaft überwacht und gesteuert sowie kontinuierlich verbessert wird. Im Kern geht es dabei um die Vertraulichkeit und Integrität der mit Kunden ausgetauschten und gespeicherten Daten sowie die Verfügbarkeit und Sicherheit der eingesetzten Server, Storagesysteme und Netzwerkkomponenten.


Rechenzentrum Panorama

Bild: 
Verfügbar und sicher auch für sensible Daten: Rechenzentrum von QSC. (Quelle: QSC)

Technische Betriebssicherheit 


Ebenfalls bereits in der Auswahlphase sollten Unternehmen sich ein klares Bild darüber verschaffen, welche organisatorischen und technischen Prozesse der Cloud-Provider implementiert hat, um eine hohe Verfügbarkeit rund um die Uhr sicherzustellen. Entscheidend dafür sind erstens robuste Komponenten in den Servern und Speichersystemen und zweitens Redundanzen der zentralen Infrastrukturbestandteile, wie der Strom- und Klimaversorgung, der Gebäudeleittechnik und doppelte Internetleitungen. Wichtig ist ferner, dass ein Cloud-Provider alle Umgebungsparameter des Betriebs nachweislich und fortlaufend überwacht. Die genauen Anforderungen sollten in SLAs (Service Level Agreements) festgeschrieben sein. 


Im engen Zusammenhang mit der Verfügbarkeit stehen Maßnahmen für die Datensicherung und Wiederherstellung, um die Betriebssicherheit bei externen Störungen zu gewährleisten. Viele der hierzulande tätigen Cloud-Provider betreiben redundante Rechenzentren, mit denen sich eine leistungsstarke Backup- und Recovery-Lösung implementieren lässt. Denkbar sind aber auch andere Varianten, bei denen Unternehmen ihr eigenes Rechenzentrum zur Datensicherung für die ausgelagerten Applikationen nutzen. Möglich ist jedoch auch der umgekehrte Fall, wenn Unternehmen ihre On-Premise verbliebenen Anwendungen bei einem Cloud-Provider sichern. Wichtig ist, dass in beiden Szenarien die Daten nahezu in Echtzeit repliziert werden, damit bei einem Störfall eine reibungslose Fortführung des Betriebs mit einem konsistenten Datenbestand sichergestellt ist. 

Onlineshops benötigen auch einen Schutz vor DDoS-Angriffen


Der Schutz vor Distributed-Denial-of-Service (DDoS)-Attacken ist dann notwendig, wenn Unternehmen beziehungsweise deren Webseiten einem besonderen Risiko unterliegen. Das gilt beispielsweise für Onlineshops, aber auch für Unternehmen aus der Medien und Unterhaltungsbranche oder Finanzdienstleister.

Die Zahl der DDoS-Attacken auf Unternehmen ist seit einiger Zeit spürbar angestiegen und die Art der Angriffe hat an Raffinesse zugenommen. Oft kombinieren die Angreifer mehrere Methoden bei ihren Cyber-Attacken gegen einzelne Unternehmen, beispielsweise um diese zu erpressen. Solange die Angriffe mit Bandbreiten von 50 oder 100 MBit/s erfolgen, reicht eine leistungsstarke lokale Firewall. Bei Attacken von mehreren GBit/s ist jedes Equipment vor Ort überfordert. Dann empfiehlt sich die Nutzung von Cloud-basierten Services eines Spezialisten, um den Schutz und die Verfügbarkeit unternehmenskritischer Applikationen und Daten sicherzustellen. 


Sicherheit und Datenschutz im Rechenzentrum


Unternehmen sollten sensible und vertrauliche Daten im Grunde genommen immer – und nicht nur in der Cloud – verschlüsselt versenden. Denn damit lässt sich ein hohes Maß an Datensicherheit erreichen. Wichtig ist, dass die Daten nicht nur auf dem Transportweg, sondern Ende-zu-Ende verschlüsselt werden. Das heißt, der Absender verschlüsselt die Daten bevor er sie auf den Weg bringt, sie werden verschlüsselt übertragen und erst auf dem Endgerät des Empfängers wieder entschlüsselt. Eine zusätzliche Sicherheit ergibt sich dann, wenn der Provider die aktuell nicht mehr benötigten Daten verschlüsselt archiviert. 


Von der Verschlüsselung profitieren Unternehmen, die Cloud-Computing-Dienste in Anspruch nehmen, und der Provider selbst. Unternehmen, die verschlüsseln, können damit belegen, dass sie ihrer gesetzlich vorgeschriebenen Sorgfaltspflicht beim Umgang mit personenbezogenen und anderen sensiblen Daten nachkommen. Ein zusätzliches Maß an Sicherheit lässt sich erzielen, wenn für den Internetzugang und den Datentransport das eigene Netz eines Cloud-Providers zum Einsatz kommt. Auch für Provider ist Verschlüsselung von Vorteil. Können sie die Umsetzung der Verschlüsselung der personenbezogenen und sensiblen Daten in ihrem Information-Security-Management-System nachweisen, stärkt dies ihre Wettbewerbsposition bezüglich IT-Sicherheit und Datenschutz. 


Als Lehre aus der Snowden-Affäre gilt, dass die Rechenzentren des Cloud-Providers in Deutschland stehen, von einem deutschen Unternehmen verantwortet werden und auch über deutsche Zertifizierungen verfügen sollen. Wenn Datensicherheit und Datenschutz Priorität haben, sollten Unternehmen sich für einen Cloud-Provider entscheiden, der seine Rechenzentren ohne jede Ausnahme nur in Deutschland betreibt. Wird ein in Deutschland befindliches Rechenzentrum von US-Unternehmen betrieben, besteht prinzipiell die Möglichkeit, dass US-Behörden einen Einblick erhalten. Entscheidend ist die Kombination aus deutschem Betreiber und dem Hosting hierzulande, denn damit ist sichergestellt, dass für personenbezogene Daten uneingeschränkt das Bundesdatenschutzgesetz gilt. 

Christian EbertChristian Ebert ist Chief Information Security Officer bei QSC in Köln.


www.qsc.de

 

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet