Auslagern in die Public Cloud: So sollten Sie vorgehen
Jedes Unternehmen, das den Einsatz von Leistungen einer Public Cloud plant, sollte zunächst über eine Strategie für Outsourcing-Vorhaben nachdenken. Die Outsourcing-Strategie stellt dar, wie ein Outsourcing-Vorhaben in die gesamte Strategie (insbesondere auch in die Risikostrategie) des Unternehmens zu integrieren ist. Dazu gehören Aspekte wie generelle Zielvorgaben, Etablierung eines Outsourcing-Managements mit Organisationsstrukturen und definierten Verantwortlichkeiten, die Festlegung akzeptabler Risiken und Entwicklung von Fallback-Strategien.
Insbesondere muss geklärt werden, welche Funktionen nicht in eine Public Cloud ausgelagert werden dürfen (wegen gesetzlichen Anforderungen, zu hohen Risiken oder anderen Gründen). Weiter ist das Outsourcing-Management in das Managementsystem des Unternehmens zu integrieren. Als weitere Mindestanforderung darf keine Auslagerung einer Funktion in eine Public Cloud ohne Sicherheitskonzepte, SLAs und Verträge mit definierten, messbaren Leistungen realisiert werden. Wesentlich ist die Implementierung eines Outsourcing-Prozesses, der gemäß Abbildung 1 näher erläutert wird.
1. Planungsphase
Zunächst sind verschiedene Alternativen für das Cloud Computing auf grober Ebene zu entwickeln und einer ersten "Sicherheitsanalyse" zu unterziehen. Unterscheidungsmerkmale der Alternativen sind u.a. die Lokalitäten der Rechenzentren, Möglichkeiten zur Beschränkung der Public Cloud auf bestimmte Regionen, Kontrollmöglichkeiten für den Datenfluss und die angebotenen Service-Ebenen (Software as a Service, Platform as a Service oder Infrastructure as a Service). Die Alternativen für die Auslagerung in die Public Cloud werden einer Sicherheits- und Risikoanalyse unterzogen. Zudem wird ermittelt, welche gesetzlichen (insbesondere des Datenschutzes) und organisatorischen Anforderungen für die verschiedenen Alternativen gelten. Aus all diesen Informationen werden die zu erfüllenden "Sicherheitsanforderungen" abgeleitet.
Danach wird entschieden, welche Alternativen in die engere Auswahl fallen oder überhaupt in Betracht gezogen werden können. Für diese Alternativen wird ein Leistungskatalog erstellt, der detailliert die Auslagerung und alle geforderten Leistungen inklusive aller Sicherheitsanforderungen beschreibt. Die Angebote der Provider können aufgrund dieses Leistungskataloges bewertet werden. Insbesondere können Defizite von Providern identifiziert werden, die zuvor noch nicht in die Sicherheitsanalyse einfließen konnten. Zusätzlich kann eine due diligence Prüfung des Providers durchgeführt werden. Danach erfolgt eine Entscheidung für eine Alternative und für einen Provider.
2. Vertragsphase
Im Schritt "Vertragsgestaltung" erfolgt die Ausarbeitung eines Vertrages. Ziel ist es, in Verträgen und/oder Service Level Agreements (SLA) eine vollständige und kontrollierbare Leistungsbeschreibung zur Gewährleistung der Qualität und Informationssicherheit in der Public Cloud zu vereinbaren. Besondere Aufmerksamkeit bei der Vertragsgestaltung erfordern u.a. folgende Punkte:
Einräumung von Auditrechten
Im Allgemeinen wird der Provider seinen Kunden keine Auditrechte für seine Rechenzentren einräumen wollen und können. Dies wäre für den Provider einerseits viel zu aufwändig, andererseits würde das Sicherheitsniveau sinken, wenn viele Fremd-Auditoren der Kunden die Rechenzentren inspizieren würden. Deshalb ist es sinnvoll, sich Auditrechte für Dokumente, Beschreibungen und Protokolle einräumen zu lassen, um etwa den korrekten Ablauf von Prozessen nachvollziehen zu können. Zudem können Zertifizierungen gefordert werden, die einen Mindeststandard für Informationssicherheit gewährleisten (z.B. die Zertifizierung nach ISO 27001).
Kennzahlen
Gerade die Definition messbarer Kennzahlen für Vertraulichkeit und Integrität als Schutzziele ist keine einfache Aufgabe. Für Verfügbarkeit und Performance werden bereits sinnvolle Kennzahlen durch die Provider angegeben.
Schnittstellendefinition
Besonders wichtig für den korrekten Betrieb der ausgelagerten Funktion sind Schnittstellen für Security Monitoring und Incident Handling. Hier müssen Prozesse mit klaren Verantwortlichkeiten, Eskalationsstufen und Kommunikationswegen zwischen Kunde und Provider definiert werden.
Regelungen für die Beendigung der Cloud-Leistungen
Auch Vereinbarungen für die Beendigung der Leistungen der Public Cloud sind zu treffen. Insbesondere muss auch geregelt werden, welche Daten wie zu übergeben sind und welche Daten nicht mehr wiederherstellbar gelöscht werden.
3. Migration
Nach Vertragsabschluss beginnt die Migration, also die schrittweise und geplante Auslagerung der Funktion. Zur Planung gehört die Erstellung von Sicherheitskonzepten, die sowohl die Migration als auch den Betrieb und die Beendigung der Auslagerung beinhalten. Als Basis für ihre Erstellung dienen die Ergebnisse der Risikoanalyse und des Auswahlverfahrens der Planungsphase. Die Umsetzung und das Testen der Auslagerung in die Cloud erfolgen nach den erstellten Sicherheitskonzepten.
4. Betriebsphase
Während der Betriebsphase werden die ausgelagerten Funktionen gemäß Vertrag und Sicherheitskonzepten durch den Provider betrieben. Wichtig ist jetzt ein funktionierendes Security Monitoring, um Abweichungen vom erforderlichen Sicherheitsniveau schnell erkennen zu können. Das Security Monitoring dient auch dazu, die Erfüllung der vertraglich vereinbarten Leistungen nachweisen, kontinuierlich verbessern und überprüfen zu können.
5. Beendigung der Auslagerung
Mit diesem Arbeitsschritt wird eine geregelte Beendigung der Cloud-Leistungen durchgeführt. Auch die Beendigung muss nach den vertraglich vereinbarten Regelungen erfolgen. Der Provider muss insbesondere Daten auf seinen Systemen nachweisbar so löschen, dass sie auch mit ausgefeilten Methoden und Technologien nicht wiederherstellbar sind. Hierzu zählen nicht nur Daten des Geschäftsprozesses, sondern auch betriebliche Daten wie Protokolldaten von Systemen und Applikationen.