SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Cloud SecurityMehr und mehr Unternehmen lagern ihre Daten mittlerweile in der Cloud aus. Damit einhergehend gewinnt auch die Cloud Compliance einen immer höheren Stellenwert – zumindest sollte sie das.

Denn kleinere und mittlere Unternehmen lassen sich immer noch zu viel Zeit, um das Thema anzugehen. Das kann sie teuer zu stehen kommen, denn auch dann, wenn Daten outgesourct werden, bleibt nach wie vor das auftraggebende Unternehmen verantwortlich für sie. Deshalb sind Firmen verpflichtet, zu überprüfen, ob ihr Cloud-Anbieter den technischen, rechtlichen, datenschutzrechtlichen und vertraglichen Sicherheitsvorgaben genügt. Und hier gilt: Je eher sie damit starten, desto zukunftssicherer sind sie aufgestellt.

Höhere Flexibilität, geringere Kosten und ein extrem reduzierter Verwaltungsaufwand – die Vorteile von Cloud Computing sind offensichtlich. Zugleich aber verlieren die Unternehmen ein Stück weit die Kontrolle über ihre Daten, wenn sie diese in die Hände eines externen Cloud-Anbieters geben. Deswegen gilt: Je sensibler die Unternehmens- und Kundendaten, desto stärker müssen die Sicherheitsmaßnahmen sein – und diese müssen überprüft werden. Findet das nicht statt, haftet der Geschäftsführer.

Im Grunde genommen greifen bei der Cloud Compliance dieselben Sicherheitsvorgaben wie bei der IT Compliance, wenn die Daten im hauseigenen Rechenzentrum liegen. Fragen, die es zu klären gilt, sind beispielsweise.: Bei welchen Daten muss höchste Sicherheitsstufe gelten? Wie sieht das Notfall-Programm aus, d.h. was passiert, wenn Dritte an unternehmenskritische Daten wie z.B. Forschungsergebnisse kommen? Weitergehende, speziell die Cloud Compliance betreffende Fragen sind: Wer hat im Rahmen der Administration seitens des Cloud-Providers wo, wann und wie lange Zugriff auf welche Daten? Wie verhält es sich mit Verschlüsselung und Back-up-Prozessen? Ein zentraler, da überaus kritischer Teil der Security-Vereinbarung mit einem Dienstleister betrifft nicht zuletzt die Datenlöschung: Werden die Daten fristgerecht gelöscht? Was passiert überhaupt nach Vertragsende mit den Daten? Um sich abzusichern, empfehlen Experten sich monatliche Sicherheitsreports des Dienstleisters geben zu lassen, die über Sicherheitsniveau und Reifegrad des Services Auskunft geben. Kurzum: Wenngleich auch recht komplex, ist Cloud Compliance alles in allem kein Zauberwerk.

Aber ausgerechnet beim Mittelstand, als vielfach beschworenes Rückgrat der deutschen Wirtschaft, zeigt sich bei diesem Thema vielerorts eine offene Flanke. Zwar gibt es überall ein Mindestmaß an Compliance, doch nur selten wird die Sache systematisch und kontinuierlich verfolgt. Häufig fehlen Ressourcen, bisweilen Knowhow und manchmal schlichtweg die Sensibilisierung dafür, dass überhaupt gehandelt werden muss. Doch eine (zu) phlegmatische Haltung in Sachen Cloud Compliance kann schnell ins Geld gehen – vom drohenden Imageverlust, wenn die Sache ruchbar wird, ganz abgesehen. Es können empfindliche Strafen seitens des Gesetzgebers und Schadenersatzforderungen geschädigter Kunden drohen, wenn nicht ausreichende Schutzvorkehrungen getroffen wurden.

Cloud Compliance als stetiger Prozess

„Besonders kleinere und mittlere Unternehmen, die nicht wie große Konzerne über die Ressourcen verfügen, sich ausführlich mit Cloud Compliance auseinander zu setzen, sollten sich hier externe Hilfe holen“, empfiehlt Bernd Usinger, Vorstand von GEBHARDT Sourcing Solutions, dem Mutterunternehmen von der broker2clouds GmbH, die sich auf IT-Strategieberatung spezialisiert hat. „Das hat auch den Vorteil, dass das Thema ganzheitlich und kontinuierlich angegangen werden kann.“ Denn IT- und damit Cloud-Compliance, bedeutet stetige Weiterentwicklung, um Prozesse zu optimieren und um unternehmensdefinierte Sicherheitsmaßnahmen an sich ständig ändernde Datenschutzbestimmungen.

Das Stuttgarter IT-Beratungsunternehmen sichert seine Kunden mit speziell für den Mittelstand entwickelten Analyse-Tools wie beispielsweise dem GEBHARDT IT-Framework-Rating ab. Die Methodik erlaubt es, die gesamte IT-Landschaft systematisch zu untersuchen und mit den Unternehmensprozessen abzugleichen. Sogenannte Prozess-Landkarten geben Aufschluss über Schwachstellen und Optimierungspotenziale. Unternehmer erhalten so einen transparenten Überblick darüber, was bisher getan wurde und was in Zukunft zu tun ist, um z.B. gesetzlichen und vertraglich vereinbarten Standards in puncto Cloud Compliance zu genügen. „Da unser Check auf der anerkannten „Business Level Classification“ basiert, können unsere Kunden ihre IT, einschließlich der IT-Security-Prozesse nach unserer Basis-Analyse, später selber prüfen“, so Usinger. Schließlich kann nicht alles so einfach überprüft werden, wie die Gültigkeit eines Security-Zertifikats (wie z.B. ISO/IEC27001) des Cloud-Providers, das Auskunft darüber gibt, ob das versprochene Sicherheitsniveau auch tatsächlich eingehalten wird.

Fazit

KMUs, die besonders stark vom Outsourcing in die Wolke profitieren, da die Cloud-Anbieter im Regelfall eine deutlich höhere Compliance garantieren können als sie selbst, müssen ihre IT Compliance so anpassen, dass es möglich ist, die vereinbarten und geforderten Sicherheitsvorkehrungen des Dienstleisters kontinuierlich zu überprüfen. Spätestens dann erhalten auch Mittelständler in Sachen Cloud Compliance gehörig Aufwind in der Wolke.

Autorin: Eva Günzler

Weitere Informationen: 
www.broker2clouds.de

 

GRID LIST
Die Spitze eines Eisbergs

Ein Drei-Stufenplan für das Risikomanagement

Dieser Teil der Serie stellt einen dreistufigen Ansatz zur Identifizierung, Beurteilung…
/Compliance

5 Tipps: Damit Compliance nicht zur Stolperfalle wird

Das Thema Compliance im Unternehmen ist sehr vielschichtig. Es reicht von der Einhaltung…
E-Mail Seucirty

Mehr Compliance: Cryptshare E-Mail Schutz-Klassifizierung

Die Cryptshare E-Mail Schutz-Klassifizierung ermöglicht es, Daten vor dem Versand mit…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet