Security und Cloud Computing

Ratgeber IT-Sicherheit

05.12.2015
Von  und Thomas Störtkuhl
Martin Schweinoch ist Anwalt im Fachbereich IT, Internet & E-Business von SKW Schwarz. Martin Schweinoch leitet diesen Fachbereich.

Diese Sicherheitsmaßnahmen sollten Sie treffen

Über folgende generelle Sicherheitsmaßnahmen müssen Unternehmen bei Leistungen aus einer Public oder Hybrid Cloud nachdenken:

1. Prozesse

Der Provider muss über definierte und dokumentierte Prozesse (z.B. Benutzer- und Rechte-Management, Change Management, Incident Handling, Problem Management etc.) verfügen, deren Schnittstellen zu den entsprechenden Prozessen des Kunden nach den Sicherheitskonzepten der Migrationsphase getestet wurden. Alle technischen Schnittstellen zum Provider müssen den Architektur- und Sicherheitsanforderungen des Kunden entsprechen. Beispiele für diesen Bereich: Es dürfen nur durch den Kunden autorisierte Änderungen durchgeführt werden; Eskalations- und Kritikalitätsstufen sowie Reaktionszeiten des Kunden für Störungen müssen beim Incident Handling eingehalten werden. Weiter weist der Provider über die regelmäßige Auswertung von Kennzahlen nach, dass die Prozesse mit einem vereinbarten Reifegrad eingehalten werden.

2. Business Continuity

Der Provider muss durch Zertifizierung und Protokolldaten nachweisen, dass er ein angemessenes Notfallmanagement aufgebaut hat und betreibt. Zusammen mit dem Kunden entwickelt der Provider geeignete Notfall- und Recovery-Pläne, die etwa Teil der Sicherheitskonzepte aus der Migrationsphase sind. Nach diesen Plänen erfolgen regelmäßige Übungen, die auch Tests für das Zusammenspiel zwischen Kunde und Provider einbeziehen.

3. Technik

Alle Kommunikationsverbindungen, über die sensitive Daten übertragen werden, sind mit State-of-the-Art Technologien zu verschlüsseln (auch in den Cloud-Rechenzentren). Bei hohen Anforderungen an die Vertraulichkeit sind Daten auch in verschlüsselter Form zu speichern.
Die Authentifizierung von Benutzern und Administratoren muss angemessen abgesichert werden. Bei hohen Zugriffsrechten sollte mindestens eine 2-Faktor-Authentifizierung (z.B. durch Wissen und Besitz, Passwort und Token) erfolgen. Fernwartungszugriffe erfolgen nur nach ausreichender Authentifizierung über verschlüsselte Kommunikationsverbindungen. Weiter ist ein Monitoring zu implementieren, dass ein frühzeitiges Erkennen von Störungen und Sicherheitsvorfällen erlaubt.