Sie sind hier: Startseite » Markt » Tipps und Hinweise

Kontrolle der IT-Security-Lösungen des Providers


Cloud-Security-Leitfaden: Worauf auslagernde Unternehmen achten müssen, damit ihre Daten bei einem Provider sicher untergebracht und vor Missbrauch geschützt sind
Für diese Unternehmen kommen nur Cloud-Provider in Frage, die dem Kunden keinen "Vendor-Lock-in" aufzwingen und auf offene, standardbasierte IT-Lösungen setzen

(11.09.14) - Outsourcing liegt weiter im Trend. Ein entscheidendes Kriterium bei der Auswahl eines bestimmten Outsourcing-Modells und Cloud Computing-Providers betrifft die Sicherheit. Zentrale Fragen lauten dabei: "Ist die Cloud so sicher wie die eigene IT-Infrastruktur?" oder "Gibt es Sicherheitszertifikate, die bei der Entscheidung für einen Cloud Computing-Anbieter helfen?". Die Beantwortung dieser Fragen hilft bei der Suche nach dem passenden Dienstleister. Red Hat, Anbieterin von Open-Source-Lösungen, hat dazu einen Best-Practices-Leitfaden zusammengestellt. Er zeigt in sechs Punkten, worauf auslagernde Unternehmen achten müssen, damit ihre Daten bei einem Provider sicher untergebracht und vor Missbrauch geschützt sind – auch wenn sie sich für ein Open-Source-basiertes Hybrid-Cloud-Modell entscheiden, das heute für viele Unternehmen der ideale Einstieg ist, um die Potenziale privater und öffentlicher Clouds optimal zu nutzen.

IT-Dienstleistungen werden in immer stärkerem Maße aus der "Wolke" bezogen. Dabei haben sich in letzter Zeit zwei Tendenzen herauskristallisiert. Zum einen setzen Unternehmen immer weniger auf ein komplettes Outsourcing, sondern vielmehr auf ein selektives Outsourcing beziehungsweise Outtasking einzelner IT-Bereiche. Zum anderen verfolgen Unternehmen zunehmend eine Multi-Sourcing-Strategie, das heißt, sie entscheiden sich nicht nur für einen einzigen Provider, sondern lagern einzelne IT-Segmente an unterschiedliche externe Partner aus, die sich auf einen bestimmten Service spezialisiert haben.

Für diese Unternehmen kommen nur Cloud-Provider in Frage, die dem Kunden keinen "Vendor-Lock-in" aufzwingen und auf offene, standardbasierte IT-Lösungen setzen. Dadurch wird es auch möglich, im Rahmen eines Open-Hybrid-Cloud-Modelles die IT-Infrastruktur zum Teil im eigenen Rechenzentrum und zum Teil in der Cloud zu betreiben. Aber auch hier stellt sich natürlich die Frage, ob die Sicherheit der bereitgestellten Services gewährleistet ist. Im Hinblick darauf sollten auslagernde Unternehmen nach Red Hat generell die folgenden Best-Practices beachten:

1. Bestandsaufnahme der eigenen IT-Infrastruktur
Vor jedem Outsourcing ist genau zu überprüfen, welche Bereiche der IT an einen externen Dienstleister übergeben werden können. Nur auf Basis einer eingehenden Ist-Analyse können Unternehmen entscheiden, welche ihrer Applikationen für eine Migration in die Cloud in Frage kommen und welche weiterhin im eigenen Rechenzentrum betrieben werden. In der Regel verbleibt zumindest ein Teil der Applikationen in der internen Infrastruktur, zum einen, weil die Applikationen nicht für den Cloud-Einsatz geeignet sind, und zum anderen, weil aus Compliance- oder datenschutzrechtlichen Gründen ein Einsatz in der Cloud nicht möglich ist. Bei der Bestandsaufnahme sollten auch die eigenen Sicherheitsmaßnahmen genau überprüft werden. Der hier erreichte Status quo muss schon einmal die erste Messlatte für die Security-Maßnahmen des externen Providers sein.

2. Überprüfung der Zertifizierungen des Providers
Auslagernde Unternehmen müssen vom Provider den Nachweis relevanter Zertifizierungen einfordern. Das betrifft zum Beispiel die Einhaltung des Sicherheitsstandards ISO 27001, der Anforderungen an die Bereitstellung und den Betrieb eines Informationssicherheits-Managementsystems festlegt, und ISO 27002, in dem sich Empfehlungen für Kontrollmechanismen für die Informationssicherheit finden.

Auch SAS70 (Statement on Auditing Standard 70: Service Organizations) beziehungsweise SSAE16 (Statement on Standards for Attestation Engagements 16) vom American Institute of Certified Public Accountants (AICPA) sind hier zu nennen. Sie haben sich im internationalen Umfeld als Nachweis dafür bewährt, dass Outsourcing-Dienstleister alle Anforderungen hinsichtlich Datensicherheit und Risikomanagement sowie im Hinblick auf die internen Kontrollsysteme erfüllen. Eine vergleichbare Richtlinie gibt es in Deutschland mit dem Standard IDW PS 951, der vom Institut der Wirtschaftsprüfer veröffentlicht wurde.

3. Kontrolle der IT-Security-Lösungen des Providers
Wer die IT im eigenen Haus betreibt, kann in der Regel den Bereich IT-Security sehr gut beurteilen: zum Beispiel im Hinblick auf die konkret implementierten Sicherheitslösungen, regelmäßige Updates oder die Schulungsmaßnahmen für Administratoren. Das alles entfällt zunächst, wenn ein Cloud-Provider die Security-Aufgaben übernimmt. Der größte Fehler, den ein Unternehmen bei der Auslagerung von IT-Bereichen machen kann: Man vertraut dem Cloud-Provider blind und geht davon aus, dass hohe Sicherheit gewährleistet ist. Ein richtiger Ansatz ist hingegen die Ausarbeitung eines Kriterienkatalogs, auf dessen Basis die IT-Security des Providers beurteilt wird, und zwar im Hinblick auf die konkreten Sicherheitsstrategien, -konzepte und -lösungen.

Eine umfassende Zusammenstellung von Sicherheitsaspekten, die ein Unternehmen bei der Auswahl eines Providers unbedingt beachten sollte, findet sich beispielsweise im vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter". Hier wird unter anderem das Thema Sicherheitsarchitektur von der Rechenzentrumssicherheit über Server-, Netz- und Datensicherheit bis zur Verschlüsselung und zum Schlüsselmanagement detailliert beleuchtet. Auch auf Aspekte wie ID- und Rechtemanagement, Notfallmanagement sowie Sicherheitsprüfungen und -nachweise wird eingegangen.

Wichtig ist im Hinblick auf das Thema IT-Security auch, dass Lösungen in diesem Bereich nicht statischen Charakter haben, sondern kontinuierlich und dynamisch weiterentwickelt werden müssen. Die Grundlage für zuverlässige Sicherheitsvorkehrungen bei Providern ist deshalb auch eine regelmäßige Überprüfung einmal festgelegter Prozesse und Maßnahmen sowie die permanente Aktualisierung im Hinblick auf sich ändernde Rahmenbedingungen oder Aufgabenstellungen.

4. Überprüfung der Einhaltung von Datenschutzgesetzen und -richtlinien
Von besonderer Bedeutung ist auch die Einhaltung aller datenschutzrechtlichen Bestimmungen. Das betrifft zum Beispiel die Erfassung, Speicherung und Nutzung personenbezogener Daten, die im Bundesdatenschutzgesetz geregelt sind. Aber Provider müssen natürlich auch branchenspezifische Standards und Compliance-Vorgaben abdecken. So gilt beispielsweise für Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern und übermitteln, der Payment Card Industry Data Security Standard (PCI-DSS). Das Regelwerk umfasst eine Liste von zwölf konkreten Sicherheitsanforderungen an die Rechnernetze der Provider. Auch im Finanzsektor oder Gesundheitswesen finden sich klare branchenspezifische Vorschriften, die ebenfalls von allen externen Dienstleistern wie Cloud-Providern zu beachten sind.

5. Überprüfung der Konsistenz hybrider Infrastrukturen
Ein Unternehmen, das eine Outsourcing-Strategie verfolgt, sollte auch überprüfen, ob das Management und die Upgrades von Workloads beim Provider in einer Weise erfolgen, die mit Workloads an anderen Orten übereinstimmt und integrierbar ist. Red Hat beispielsweise unterstützt seine Kunden bei der Wahl einer geeigneten, sicheren Public-Cloud-Umgebung. Im Rahmen des Certified Cloud Provider Program (CCP) wird überprüft, ob ein Provider zertifizierte Hardware und Hypervisoren nutzt und von Red Hat zertifizierte Red Hat Enterprise Linux Images bietet. Außerdem müssen die Provider dieselben Updates und Patches bereitstellen, die man auch direkt von Red Hat erhält, und einen klar definierten Software-Support anbieten. Damit wird sichergestellt, dass auch bei Images in einer Public Cloud aktuelle Security-Patches installiert sind und dass Workloads beliebig zwischen Public Clouds und der eigenen Infrastruktur verlagert werden können.

6. Festlegung von Richtlinien zur Überwachung, Steuerung und Risikokontrolle
Cloud Computing ist deutlich mehr als nur eine technische Art der Bereitstellung von Computerleistung. Benötigt werden klare Zuständigkeiten, Prozesse (Governance) und Sicherheitsrichtlinien beim Cloud-Provider. In vielen Unternehmen gibt es bereits eindeutig dokumentierte Richtlinien zur Risikokontrolle, Überwachung und Steuerung, die natürlich auch allen national geltenden Gesetzen und Vorschriften entsprechen müssen. Für deren Einhaltung ist zum Beispiel ein eigener IT-Sicherheitsbeauftragter zuständig, den es auch beim Cloud-Provider geben muss. Darauf sollte ein Nutzer von Cloud-Services auch achten, denn eines darf nicht vergessen werden: Auch bei einem Outsourcing von IT oder Geschäftsprozessen ist ein Unternehmen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Und deshalb ist es zwingend erforderlich, den Ort der Datenhaltung, die Art der Datensicherung und Datenzugriffsmöglichkeiten durch den Provider exakt unter die Lupe zu nehmen.

"Entscheidet sich ein Unternehmen für einen Cloud-Anbieter, spielen vertrauensbildende Maßnahmen eine zentrale Rolle. Sind die Kontrollmechanismen zwischen dem Cloud-Provider und dem Kunden eindeutig geregelt und verlässlich, entsteht auch Vertrauen", erklärt Frederik Bijlsma, EMEA Business Unit Manager Cloud bei Red Hat. "Cloud-Provider können hier ihren Teil zum Beispiel durch klar definierte Sicherheitsrichtlinien und Zertifizierungen beitragen." (Red Hat: ra)

Red Hat: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps und Hinweise

  • Was Unternehmen beachten müssen

    Künstliche Intelligenz gehört für immer mehr Unternehmen ganz selbstverständlich zum Geschäftsalltag dazu. Insbesondere die generative KI (GenAI) erlebt einen Boom, den sich viele so nicht vorstellen konnten. GenAI-Modelle sind jedoch enorm ressourcenhungrig, sodass sich Firmen Gedanken über die Infrastruktur machen müssen. NTT DATA, ein weltweit führender Anbieter von digitalen Business- und Technologie-Services, zeigt, warum die Cloud der Gamechanger für generative KI ist.

  • SAP mit umfassender Cloud-Strategie

    Für die digitale Transformation von Unternehmen setzt SAP auf eine umfassende Cloud-Strategie. Hier bietet SAP verschiedene Lösungen an. Neben der SAP Public Cloud, die sehr stark auf den SME-Markt zielt, bedient die Industry Cloud als Kombination aus Private Cloud und industriespezifischen Cloud-Lösungen eher den LE-Markt.

  • Warum steigende IT-Kosten das kleinere Übel sind

    Es gibt Zeiten, in denen sind CIOs wirklich nicht zu beneiden. Zum Beispiel dann, wenn sie der Unternehmensführung wieder einmal erklären müssen, warum erneut höhere Investitionen in die IT nötig sind. Eines der größten Paradoxe dabei: Kosten steigen auf dem Papier auch dann, wenn eigentlich aus Kostengründen modernisiert wird. Der Umstieg vom eigenen Server im Keller in die Cloud? Mehrkosten. Neue SaaS-Lösungen?

  • Optimierung von Java-Workloads in der Cloud

    Cloud-Infrastrukturen versprechen Skalierbarkeit, Effizienz und Kostenvorteile. Doch um Engpässe zu vermeiden, überprovisionieren viele Unternehmen ihre Cloud-Kapazitäten - und bezahlen so oftmals für Ressourcen, die sie gar nicht nutzen. Wie lässt sich das ändern? Ein zentraler Hebel ist die Optimierung von Java-Workloads in der Cloud. Cloud-Infrastrukturen bringen viele Vorteile, aber auch neue Komplexität und oft unerwartet hohe Kosten mit sich. Bei vielen Unternehmen nehmen Java-Umgebungen und -Anwendungen große Volumina in gebuchten Cloud-Kapazitäten ein, denn Java gehört noch immer zu den beliebtesten Programmiersprachen: Laut dem aktuellen State of Java Survey and Report 2025 von Azul geben 68 Prozent der Befragten an, dass über 50 Prozent ihrer Anwendungen mit Java entwickelt wurden oder auf einer JVM (Java Virtual Machine) laufen.

  • Wer Cloud sagt, muss Datensouveränität denken

    Die Cloud hat sich längst zu einem neuen IT-Standard entwickelt. Ihr Einsatz bringt allerdings neue Herausforderungen mit sich - insbesondere im Hinblick auf geopolitische Risiken und die Gefahr einseitiger Abhängigkeiten. Klar ist: Unternehmen, Behörden und Betreiber kritischer Infrastrukturen benötigen eine kompromisslose Datensouveränität. Materna Virtual Solution zeigt, welche zentralen Komponenten dabei entscheidend sind.

  • Fünf Mythen über Managed Services

    Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Die IT-Dienstleisterin CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind.

  • KI-Herausforderung: Mehr Daten, mehr Risiko

    Künstliche Intelligenz (KI) revolutioniert weiterhin die Geschäftswelt und hilft Unternehmen, Aufgaben zu automatisieren, Erkenntnisse zu gewinnen und Innovationen in großem Umfang voranzutreiben. Doch es bleiben Fragen offen, vor allem wenn es um die Art und Weise geht, wie KI-Lösungen Daten sicher verarbeiten und bewegen. Einem Bericht von McKinsey zufolge gehören Ungenauigkeiten in der KI sowie KI-Cybersecurity-Risiken zu den größten Sorgen von Mitarbeitern und Führungskräften.

  • Sichere Daten in der Sovereign Cloud

    Technologie steht im Mittelpunkt strategischer Ambitionen auf der ganzen Welt, aber ihr Erfolg hängt von mehr als nur ihren Fähigkeiten ab. Damit Dienste effektiv funktionieren, braucht es eine Vertrauensbasis, die den Erfolg dieser Technologie untermauert und eine verantwortungsvolle Speicherung der Daten, Anwendungen und Dienste gewährleistet.

  • Integration von Cloud-Infrastrukturen

    Cloud-Technologien werden zum Schlüsselfaktor für Wachstum und verbesserte Skalierbarkeit über das Kerngeschäft hinaus - auch bei Telekommunikationsanbietern (Telcos). Auch hier ist der Wandel zur Nutzung von Produkten und Dienstleistungen "On-Demand" im vollen Gange, sodass Telcos ihre Geschäftsmodelle weiterentwickeln und zunehmend als Managed-Service-Provider (MSPs) und Cloud-Service-Provider (CSPs) auftreten.

  • Acht Einsatzszenarien für Industrial AI

    Artificial Intelligence (AI) entwickelt sich zunehmend zur Schlüsselressource für die Wettbewerbsfähigkeit der deutschen Industrie. Doch wie weit ist die Branche wirklich? Laut einer aktuellen Bitkom-Befragung setzen bereits 42?Prozent der Industrieunternehmen des verarbeitenden Gewerbes in Deutschland AI in ihrer Produktion ein - ein weiteres Drittel (35?Prozent) plant entsprechende Projekte.

Fünf Prinzipien bei der Migration in die Cloud Nutzung einer Entwicklungsplattform aus der Cloud

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen