Sicherheit von Cloud-Diensten

1. Cloud-Sicherheit und Standards

Hinsichtlich der Compliance-Anforderungen an Cloud-Lösungen kommen als gesetzliche Grundlagen unter anderem das Bundesdatenschutzgesetz oder Buchführungsgrundsätze gemäß HGB in Frage. Dementsprechend wird von Cloud-Anbietern auch eine fortlaufende Beobachtung und Umsetzung bestehender bzw. geänderter gesetzlicher Anforderungen gefordert.
In den vergangenen Jahren haben sich auf dieser Grundlage verschiedene Ansätze entwickelt, welche Sicherheitsanforderungen an Cloud-Dienste bzw. -Anbieter im Detail bestehen. Die typischen Anforderungen reichen von der Einhaltung grundlegender IT-Sicherheitsstandards wie der ISO/IEC 2700x-Reihe über die Nutzung von Verschlüsselungsverfahren nach Stand der Technik bis zum Schutz beispielsweise vor DDoS-Angriffen, um die Verfügbarkeit sicherzustellen.
Die Grundidee hinter entsprechenden Standards besteht einerseits in der Definition eines Stands der Technik, auf welchen in verschiedensten gesetzlichen Grundlagen Bezug genommen wird und der damit als Maßstab hinsichtlich Haftungsfragen oder Bußgeld-Entscheidungen relevant sein kann. Andererseits können Standards bei Bedarf auch vertraglich zwischen Anbieter und Anwender vereinbart werden, was insbesondere bei Projekten im B2B-Bereich üblich ist.

2. Labels und Zertifizierung

In Bereichen von der Produktqualität bis zu Bio-Lebensmitteln existieren zahlreiche Zertifizierungen und Labels, welche das kundenseitige Vertrauen in bestimmte Produkte steigern sollen. Diese werden in den meisten Fällen durch privatwirtschaftliche Organisationen auf Basis vorab definierter Anforderungskataloge vergeben. Auch hinsichtlich der Sicherheit von Cloud-Diensten existieren entsprechende Angebote.
Insbesondere im Bereich von Cloud-Services sind die Sicherheitsanforderungen jedoch vergleichsweise umfangreich und komplex. In Zusammenhang mit Labels sollte daher beachtet werden, dass Anbieter oder Dienste ohne ein bestimmtes Label nicht automatisch "unsicher" sind. Ein Label kann ein erstes Indiz sein, die tatsächlichen Sicherheitsanforderungen und -maßnahmen bedürfen bei allen über Standardanwendungen hinausgehenden Cloud-Projekten jedoch einer tiefgehenden Analyse im Einzelfall.
Insofern sind die jeweiligen Standards und Anforderungskataloge in mehrfacher Hinsicht nutzbar, z.B.:
  • Für Cloud-Anbieter als Basis für eine Umsetzung und Dokumentation von Sicherheitsmaßnahmen nach Stand der Technik
  • Als Grundlage für eine entsprechende Zertifizierung bzw. den Erhalt eines Labels als Cloud-Anbieter
  • Unabhängig von Labels im Sinne einer Checkliste für die Berücksichtigung von Sicherheitsaspekten im Rahmen von Cloud-Projekten (z.B. durch vertragliche Berücksichtigung bestimmter Anforderungen oder Standards)

Einen Überblick über verschiedene Zertifizierungssysteme bzw. Label finden Sie auf der ENISA-Website sowie auf der Website der Trusted Cloud Initiative.
Eine umfangreiche Liste verschiedenster Sicherheitsmaßnahmen enthält insbesondere der Anforderungskatalog Cloud Computing des BSI (C5: Cloud Computing Compliance Controls Catalogue). Dort sind auch Verweise auf zahlreiche gesetzliche Grundlagen sowie weitere nationale und internationale Standards aufgeführt.

3. Der Weg in die Cloud

Wie jedes IT-Projekt erfordert auch die Nutzung von Cloud-Diensten eine fundierte Analyse der konkreten Anforderungen an Funktionalität, Sicherheit, Verfügbarkeit etc. im Einzelfall. In der Regel werden daher erfahrene Dienstleister eingeschaltet, die auf Basis einer umfassenden Beratung die weitere Umsetzung konzipieren. Hierbei werden auch die individuellen Sicherheitsanforderungen berücksichtigt.
Ein mögliches Ergebnis sind beispielsweise Hybrid Cloud Lösungen, bei denen Private und Public Cloud kombiniert werden. Dadurch können ggf. unterschiedliche Sicherheitsniveaus umgesetzt werden, so dass für den "unkritischen" Datenbestand die Vorteile der Public Cloud nutzbar werden, während kritische Daten und Prozesse in den lokalen Ressourcen verbleiben. Damit verbunden ist möglicherweise jedoch ein höherer organisatorischer Aufwand, was wiederum die Notwendigkeit einer systematischen Herangehensweise an Cloud-Projekte unter Einbeziehung entsprechender Experten unterstreicht.
Über unsere Firmendatenbank finden Sie eine Reihe entsprechender Anbieter bzw. Dienstleister in der Region. Für Fragen zu diesem Thema stehen wir zudem gerne jederzeit auch persönlich zur Verfügung.