Sie sind hier: Startseite » Markt » Tipps und Hinweise

Kontrolle der IT-Security-Lösungen des Providers


Cloud-Security-Leitfaden: Worauf auslagernde Unternehmen achten müssen, damit ihre Daten bei einem Provider sicher untergebracht und vor Missbrauch geschützt sind
Für diese Unternehmen kommen nur Cloud-Provider in Frage, die dem Kunden keinen "Vendor-Lock-in" aufzwingen und auf offene, standardbasierte IT-Lösungen setzen

(11.09.14) - Outsourcing liegt weiter im Trend. Ein entscheidendes Kriterium bei der Auswahl eines bestimmten Outsourcing-Modells und Cloud Computing-Providers betrifft die Sicherheit. Zentrale Fragen lauten dabei: "Ist die Cloud so sicher wie die eigene IT-Infrastruktur?" oder "Gibt es Sicherheitszertifikate, die bei der Entscheidung für einen Cloud Computing-Anbieter helfen?". Die Beantwortung dieser Fragen hilft bei der Suche nach dem passenden Dienstleister. Red Hat, Anbieterin von Open-Source-Lösungen, hat dazu einen Best-Practices-Leitfaden zusammengestellt. Er zeigt in sechs Punkten, worauf auslagernde Unternehmen achten müssen, damit ihre Daten bei einem Provider sicher untergebracht und vor Missbrauch geschützt sind – auch wenn sie sich für ein Open-Source-basiertes Hybrid-Cloud-Modell entscheiden, das heute für viele Unternehmen der ideale Einstieg ist, um die Potenziale privater und öffentlicher Clouds optimal zu nutzen.

IT-Dienstleistungen werden in immer stärkerem Maße aus der "Wolke" bezogen. Dabei haben sich in letzter Zeit zwei Tendenzen herauskristallisiert. Zum einen setzen Unternehmen immer weniger auf ein komplettes Outsourcing, sondern vielmehr auf ein selektives Outsourcing beziehungsweise Outtasking einzelner IT-Bereiche. Zum anderen verfolgen Unternehmen zunehmend eine Multi-Sourcing-Strategie, das heißt, sie entscheiden sich nicht nur für einen einzigen Provider, sondern lagern einzelne IT-Segmente an unterschiedliche externe Partner aus, die sich auf einen bestimmten Service spezialisiert haben.

Für diese Unternehmen kommen nur Cloud-Provider in Frage, die dem Kunden keinen "Vendor-Lock-in" aufzwingen und auf offene, standardbasierte IT-Lösungen setzen. Dadurch wird es auch möglich, im Rahmen eines Open-Hybrid-Cloud-Modelles die IT-Infrastruktur zum Teil im eigenen Rechenzentrum und zum Teil in der Cloud zu betreiben. Aber auch hier stellt sich natürlich die Frage, ob die Sicherheit der bereitgestellten Services gewährleistet ist. Im Hinblick darauf sollten auslagernde Unternehmen nach Red Hat generell die folgenden Best-Practices beachten:

1. Bestandsaufnahme der eigenen IT-Infrastruktur
Vor jedem Outsourcing ist genau zu überprüfen, welche Bereiche der IT an einen externen Dienstleister übergeben werden können. Nur auf Basis einer eingehenden Ist-Analyse können Unternehmen entscheiden, welche ihrer Applikationen für eine Migration in die Cloud in Frage kommen und welche weiterhin im eigenen Rechenzentrum betrieben werden. In der Regel verbleibt zumindest ein Teil der Applikationen in der internen Infrastruktur, zum einen, weil die Applikationen nicht für den Cloud-Einsatz geeignet sind, und zum anderen, weil aus Compliance- oder datenschutzrechtlichen Gründen ein Einsatz in der Cloud nicht möglich ist. Bei der Bestandsaufnahme sollten auch die eigenen Sicherheitsmaßnahmen genau überprüft werden. Der hier erreichte Status quo muss schon einmal die erste Messlatte für die Security-Maßnahmen des externen Providers sein.

2. Überprüfung der Zertifizierungen des Providers
Auslagernde Unternehmen müssen vom Provider den Nachweis relevanter Zertifizierungen einfordern. Das betrifft zum Beispiel die Einhaltung des Sicherheitsstandards ISO 27001, der Anforderungen an die Bereitstellung und den Betrieb eines Informationssicherheits-Managementsystems festlegt, und ISO 27002, in dem sich Empfehlungen für Kontrollmechanismen für die Informationssicherheit finden.

Auch SAS70 (Statement on Auditing Standard 70: Service Organizations) beziehungsweise SSAE16 (Statement on Standards for Attestation Engagements 16) vom American Institute of Certified Public Accountants (AICPA) sind hier zu nennen. Sie haben sich im internationalen Umfeld als Nachweis dafür bewährt, dass Outsourcing-Dienstleister alle Anforderungen hinsichtlich Datensicherheit und Risikomanagement sowie im Hinblick auf die internen Kontrollsysteme erfüllen. Eine vergleichbare Richtlinie gibt es in Deutschland mit dem Standard IDW PS 951, der vom Institut der Wirtschaftsprüfer veröffentlicht wurde.

3. Kontrolle der IT-Security-Lösungen des Providers
Wer die IT im eigenen Haus betreibt, kann in der Regel den Bereich IT-Security sehr gut beurteilen: zum Beispiel im Hinblick auf die konkret implementierten Sicherheitslösungen, regelmäßige Updates oder die Schulungsmaßnahmen für Administratoren. Das alles entfällt zunächst, wenn ein Cloud-Provider die Security-Aufgaben übernimmt. Der größte Fehler, den ein Unternehmen bei der Auslagerung von IT-Bereichen machen kann: Man vertraut dem Cloud-Provider blind und geht davon aus, dass hohe Sicherheit gewährleistet ist. Ein richtiger Ansatz ist hingegen die Ausarbeitung eines Kriterienkatalogs, auf dessen Basis die IT-Security des Providers beurteilt wird, und zwar im Hinblick auf die konkreten Sicherheitsstrategien, -konzepte und -lösungen.

Eine umfassende Zusammenstellung von Sicherheitsaspekten, die ein Unternehmen bei der Auswahl eines Providers unbedingt beachten sollte, findet sich beispielsweise im vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter". Hier wird unter anderem das Thema Sicherheitsarchitektur von der Rechenzentrumssicherheit über Server-, Netz- und Datensicherheit bis zur Verschlüsselung und zum Schlüsselmanagement detailliert beleuchtet. Auch auf Aspekte wie ID- und Rechtemanagement, Notfallmanagement sowie Sicherheitsprüfungen und -nachweise wird eingegangen.

Wichtig ist im Hinblick auf das Thema IT-Security auch, dass Lösungen in diesem Bereich nicht statischen Charakter haben, sondern kontinuierlich und dynamisch weiterentwickelt werden müssen. Die Grundlage für zuverlässige Sicherheitsvorkehrungen bei Providern ist deshalb auch eine regelmäßige Überprüfung einmal festgelegter Prozesse und Maßnahmen sowie die permanente Aktualisierung im Hinblick auf sich ändernde Rahmenbedingungen oder Aufgabenstellungen.

4. Überprüfung der Einhaltung von Datenschutzgesetzen und -richtlinien
Von besonderer Bedeutung ist auch die Einhaltung aller datenschutzrechtlichen Bestimmungen. Das betrifft zum Beispiel die Erfassung, Speicherung und Nutzung personenbezogener Daten, die im Bundesdatenschutzgesetz geregelt sind. Aber Provider müssen natürlich auch branchenspezifische Standards und Compliance-Vorgaben abdecken. So gilt beispielsweise für Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern und übermitteln, der Payment Card Industry Data Security Standard (PCI-DSS). Das Regelwerk umfasst eine Liste von zwölf konkreten Sicherheitsanforderungen an die Rechnernetze der Provider. Auch im Finanzsektor oder Gesundheitswesen finden sich klare branchenspezifische Vorschriften, die ebenfalls von allen externen Dienstleistern wie Cloud-Providern zu beachten sind.

5. Überprüfung der Konsistenz hybrider Infrastrukturen
Ein Unternehmen, das eine Outsourcing-Strategie verfolgt, sollte auch überprüfen, ob das Management und die Upgrades von Workloads beim Provider in einer Weise erfolgen, die mit Workloads an anderen Orten übereinstimmt und integrierbar ist. Red Hat beispielsweise unterstützt seine Kunden bei der Wahl einer geeigneten, sicheren Public-Cloud-Umgebung. Im Rahmen des Certified Cloud Provider Program (CCP) wird überprüft, ob ein Provider zertifizierte Hardware und Hypervisoren nutzt und von Red Hat zertifizierte Red Hat Enterprise Linux Images bietet. Außerdem müssen die Provider dieselben Updates und Patches bereitstellen, die man auch direkt von Red Hat erhält, und einen klar definierten Software-Support anbieten. Damit wird sichergestellt, dass auch bei Images in einer Public Cloud aktuelle Security-Patches installiert sind und dass Workloads beliebig zwischen Public Clouds und der eigenen Infrastruktur verlagert werden können.

6. Festlegung von Richtlinien zur Überwachung, Steuerung und Risikokontrolle
Cloud Computing ist deutlich mehr als nur eine technische Art der Bereitstellung von Computerleistung. Benötigt werden klare Zuständigkeiten, Prozesse (Governance) und Sicherheitsrichtlinien beim Cloud-Provider. In vielen Unternehmen gibt es bereits eindeutig dokumentierte Richtlinien zur Risikokontrolle, Überwachung und Steuerung, die natürlich auch allen national geltenden Gesetzen und Vorschriften entsprechen müssen. Für deren Einhaltung ist zum Beispiel ein eigener IT-Sicherheitsbeauftragter zuständig, den es auch beim Cloud-Provider geben muss. Darauf sollte ein Nutzer von Cloud-Services auch achten, denn eines darf nicht vergessen werden: Auch bei einem Outsourcing von IT oder Geschäftsprozessen ist ein Unternehmen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Und deshalb ist es zwingend erforderlich, den Ort der Datenhaltung, die Art der Datensicherung und Datenzugriffsmöglichkeiten durch den Provider exakt unter die Lupe zu nehmen.

"Entscheidet sich ein Unternehmen für einen Cloud-Anbieter, spielen vertrauensbildende Maßnahmen eine zentrale Rolle. Sind die Kontrollmechanismen zwischen dem Cloud-Provider und dem Kunden eindeutig geregelt und verlässlich, entsteht auch Vertrauen", erklärt Frederik Bijlsma, EMEA Business Unit Manager Cloud bei Red Hat. "Cloud-Provider können hier ihren Teil zum Beispiel durch klar definierte Sicherheitsrichtlinien und Zertifizierungen beitragen." (Red Hat: ra)

Red Hat: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Tipps und Hinweise

  • Private AI verfolgt einen Plattform-Ansatz

    Der Einzug der generativen KI (GenAI) in die breite Öffentlichkeit hat das KI-Wachstum in Unternehmen vergangenes Jahr beschleunigt. Motiviert durch Wettbewerbsdruck und potenzielle Vorteile forcieren Unternehmen und Regierungen ihre KI-Strategie.

  • Mangelnde Vorbereitung auf SaaS-Ausfälle

    Der Hycu State of SaaS Resilience 2024 Report deckte zuletzt kritische Datensicherungslücken auf, da 70 Prozent der Unternehmen Datenverluste erleiden. Trotzdem verlassen sich 60 Prozent immer noch auf ihre Software-as-a-Service (SaaS)-Anbieter, um sich zu schützen, und setzen sich damit weiteren Risiken aus.

  • KI gewinnbringend einsetzen

    Das KI-Potenzial ist praktisch unerschöpflich. Doch um es richtig zu nutzen und daraus echte Wettbewerbsvorteile zu generieren, muss vorab die Bereitschaft des Unternehmens dafür geklärt werden. Der IT-Dienstleister CGI erklärt, warum der Readiness-Check so wichtig ist, was er genau analysiert und was mit den daraus gewonnenen Erkenntnissen passiert.

  • Herausforderungen von Edge AI

    Künstliche Intelligenz hat längst den Netzwerkrand erreicht. Um zeitkritischen Daten den Umweg über die Cloud und das Rechenzentrum zu ersparen, bringen Edge-AI-Lösungen Modelle direkt in die Anwendungen vor Ort. Dieser Weg bietet immense Vorteile - er ist aber auch mit einigen Stolpersteinen gepflastert, wie Couchbase, Anbieter einer Cloud-Datenbankplattform, zeigt.

  • Cloud-Datenschutz im Gesundheitswesen

    Daten im Gesundheitswesen gehören zu den kritischsten Vermögenswerten. Sie umfassen hochsensible Informationen wie Krankengeschichten, Behandlungsunterlagen und persönliche Daten. Der Schutz dieser Daten ist von größter Bedeutung, da sie durch nationale und globale Vorschriften als besondere Kategorien personenbezogener Daten eingestuft werden.

  • Generative KI mit Serverless optimieren

    Der Einsatz von generativer KI kann komplex und teuer sein. Serverlose Cloud-Dienste und Vektordatenbanken bieten eine Lösung, um diese Hürden zu überwinden und KI-Anwendungen effizient und skalierbar zu gestalten.

  • Sensible Daten in der Cloud schützen

    Wenn Unternehmen in der Cloud geistiges Eigentum oder persönliche Informationen verlieren, drohen ihnen erhebliche Konsequenzen. Mit den richtigen Maßnahmen für Datensicherheit in der Cloud können sie zuverlässig Vorsorge treffen. Forcepoint erläutert die fünf wichtigsten davon. Datensicherheit in der Cloud wird für Unternehmen zunehmend zu einem kritischen Bestandteil ihrer IT-Infrastruktur.

  • Dank der Cloud: Flexibilität und Skalierbarkeit

    Cloud-Marktplätze sind heute zu einem unverzichtbaren Dreh- und Angelpunkt für unabhängige Softwareanbieter (ISVs) geworden, um ihre Reichweite zu vergrößern, den Verkaufsprozess zu rationalisieren und Wachstum zu fördern. Erfolg ist jedoch nicht allein dadurch garantiert, dass ein Produkt auf einem Marktplatz gelistet ist.

  • Beste Rendite für Serverinvestitionen?

    Laut Statista schätzen IT-Experten weltweit im Jahr 2024 eine Aufteilung von fast 50/50 zwischen Onsite- und Cloud-gehosteten Servern in ihren Unternehmen. Aufgrund der riesigen Datenmengen und der zunehmenden Nutzung von KI, werden künftig immer mehr Server benötigt.

  • Digitale Transformation kommt nicht ins Rollen?

    Dass die Digitalisierung unaufhaltsam voranschreitet, ist keine Neuigkeit mehr, trotzdem haben bislang viele deutsche Unternehmen den entscheidenden Schritt zur digitalen Transformation noch nicht gewagt. Die Corona-Pandemie hat als Katalysator für einen Digitalisierungsschub gesorgt und viele Prozesse auf den Prüfstand gestellt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen