Sicherheit für die Cloud

Praxis-Tipp: Security von Cloud-Computing-Diensten sicherstellen

1. März 2010, 12:04 Uhr | Bernd Reder

Vielen Anwendern sind Cloud-Computing-Services im wahrsten Sinne des Wortes noch zu »wolkig«. Ein Hauptkritikpunkt: Unklarheiten in puncto Sicherheit. Die Beratungsfirma Experton Group hat zehn Regeln zusammengestellt, mit denen sich »Cloud-Security« sicherstellen lässt.

Das Rennen um den Kunden wird derjenige Anbieter von Cloud-Computing-Diensten machen, der auch Aspekte wie Security und Compliance berücksichtigt.
Das Rennen um den Kunden wird derjenige Anbieter von Cloud-Computing-Diensten machen, der auch Aspekte wie Security und Compliance berücksichtigt.

Rechenleistung, Anwendungen oder Speicherkapazitäten in die »Cloud« zu verlagern, ist einer der zentralen IT- und Netzwerktrends. Die Anbieter solcher Services stellen naturgemäß die Vorteile solcher Dienste in den Vordergrund: die höhere Flexibilität für den Anwender, der Services und IT-Kapazitäten nach Bedarf ordern kann oder die Möglichkeit, Daten auf einfache Weise zu sichern.

»Die Diskussion wird heute oftmals auf technologischer Ebene geführt, doch der wahre Schlüssel zum Erfolg von Cloud-Services liegt in den Aktivitäten rund um Risikoanalyse, Service-Level-Agreements und Provider-Management«, sagt Wolfram Funk, Senior Advisor bei der Beratungsgesellschaft Experton Group. Dann lässt sich durch extern bezogene Cloud-Services mit vertretbarem Aufwand ein höheres Sicherheitsniveau als bei der Inhouse-Variante erzielen.

Doch gerade was die Sicherheit von Cloud-Services betrifft, herrscht große Unsicherheit bei potenziellen Nutzern. Zwar prüfen viele deutsche Unternehmen extern angebotene Cloud-Services. Als Hemmnis für deren Einsatz werden aber immer wieder Sicherheitsbedenken und Compliance-Aspekte ins Feld geführt.

»Die Situation erscheint paradox: Grundsätzlich ermöglichen es externe Cloud-Services der Mehrzahl der Kunden, die Sicherheit bestimmter Anwendungen und Dienste auf ein höheres Niveau als bislang zu heben«, so Wolfram Funk. »Da externe Cloud-Dienstleister ihre Services für eine Vielzahl von Kunden anbieten, verfügen sie über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur erlauben.«

Mehr Geld für private als öffentliche Cloud-Services

Bedenken bezüglich der Sicherheit ist auch einer der Faktoren, der laut der Markforschungsgesellschaft Gartner die Verbreitung von Public-Cloud-Angeboten hemmt. Firmen setzen demnach derzeit stärker auf »Private Clouds«, die sie besser kontrollieren können.

Zumindest bis 2012, so Gartner, werden Unternehmen mehr Geld in den Aufbau von privaten Cloud-Angeboten investieren als in die Nutzung von Public-Cloud-Services.

Beziehungen zum Service-Provider eminent wichtig

Laut Experton Group sind technische Maßnahmen zur Absicherung von Cloud-Services bereits heute einsetzbar. Noch wichtiger jedoch ist nach Ansicht der Berater jedoch die »richtige« Ausgestaltung der Beziehung zum Cloud-Dienstleister.

Den Rahmen geben dabei laut Wolfram Funk die Normen der ISO-2700x-Reihe, der BSI-IT-Grundschutz und ITIL vor. Die Beratungsgesellschaft hat zehn Regeln formuliert, welche die Sicherheit von extern bezogenen Cloud-Services sicherstellen sollen:

1. Interne Organisation: Zunächst die interne Organisationsstruktur auf Vordermann bringen sowie Verantwortlichkeiten und Rollen für Informationssicherheit intern klären. Dies gilt auch für das Informationssicherheits-Management und die Steuerung (Governance) von Informationssicherheit.

2. Steuerung durch Nutzer: Die Verantwortung für die Informationssicherheit insgesamt und für Koordination, Management und Qualitätskontrolle externer Dienstleister bleibt immer im Unternehmen. Das gilt auch für Cloud-Services, die von externen Service-Providern bezogen werden.

3. Risikoanalyse: Eine detaillierte Risikoanalyse für den spezifischen Cloud-Service durchführen, der von einem externen Anbieter bezogen wird. Gleiches gilt für die betroffenen Informationen und Prozesse. Dabei auch Compliance-Risiken mit berücksichtigen.

4. Geschäftsmodell kritisch prüfen: Ist der Business Case stimmig? Wirtschaftliche Aspekte, interne und kundenorientierte Prozessverbesserungen und weitere potenzielle Nutzeneffekte müssen den erwarteten (Rest-)Risiken gegenübergestellt werden.


  1. Praxis-Tipp: Security von Cloud-Computing-Diensten sicherstellen
  2. Auch Ausstiegsszenarien festlegen

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+