Auch nach mehr als zehn Jahren Cloud Computing beherrschen einige Themen immer noch unverändert die Diskussionen um dessen Einsatz. Dazu gehören der Datenschutz und die Datensicherheit. Laut einer Erhebung von KPMG befürchten 46 Prozent der Unternehmen, die noch keine Cloud-Services nutzen, unberechtigte Zugriffe auf ihre sensiblen Daten. Das korrespondiert mit den Aussagen der Cloud-Anwender, dass die Compliance-Anforderungen "vielfach eine Herausforderung" seien.
Foto: wavebreakmedia - shutterstock.com
Das verwundert wenig: Die politischen und regulatorischen Entwicklungen der letzten Jahre haben vielfach zu einer Verunsicherung, vor allem bei der Nutzung von Cloud-Services der US-amerikanischen Hyperscaler geführt (beispielsweise Safe Harbor, EU/US Privacy Shield, EU-GDPR, Schrems II, US Cloud Act). Hinzu kommt, dass in Deutschland in den regulierten Branchen, wie Telekommunikation, Gesundheit und Finanzdienstleistungen besonders strenge Compliance-Auflagen gelten.
Vor allem das Schrems-II-Urteil des EuGH (2020) hat die Unternehmen verunsichert: |
Bis 2022 haben in der Folge ... (Quelle: KPMG) |
Cloud Service Provider unterliegen Nachweispflicht
In der Vergangenheit haben sich deshalb viele Unternehmen entschlossen, ihre IT-Dienstleistungen innerhalb des eigenen Unternehmens zu erbringen. Doch werden diese IT-Leistungen an Dritte ausgelagert - wie beim Cloud Computing häufig der Fall - entsteht das Problem, die Service Provider auf die Einhaltung der jeweils geltenden Regularien zu verpflichten. Das beginnt bereits bei der Auswahl des Leistungserbringers. Diese müssen in der Regel sehr detailliert offenlegen, welche Prozesse, Verfahren sowie technische und organisatorische Maßnahmen (TOM) sie einsetzen, um die geforderte Sicherheit und Governance zu gewährleisten. Dieses Youtube-Video erklärt in alle Kürze, was sich hinter dem rechtlichen Begriff verbirgt.
Compliance-gerechtes Cloud-Design erfordert viel Fingerspitzengefühl
Rein technische betrachtet ist die Sicherheit der Cloud-Infrastruktur bei den Hyperscalern sehr gut. In der Regel greifen sie auf ausgefeilte Sicherheitsprozesse zurück. Ergänzt wird das um grundlegende Maßnahmen und Prozesse für die technische, physische und organisatorische Sicherheit, die den höchsten Branchenstandards entsprechen. Das belegen auch die vielen Zertifikate, auf die die Hyperscaler gerne verweisen.
Doch diese Infrastruktursicherheit reicht bei Weitem nicht aus. Sicherheit und Datenschutz müssen über den kompletten IT-Stack hinweg gedacht und gemanagt werden. Das heißt, auch wenn die Hyperscaler eine Fülle von Sicherheitsdiensten anbieten, so verlangt ein Compliance-gerechtes firmenindividuelles Cloud-Design viel Fingerspitzengefühl. Schließlich ist jede Cloud-Umgebung einzigartig und die Berücksichtigung existierender Drittlösungen erfordert immer eine hohe Integrationsexpertise.
Im Zweifelsfall Experten hinzuziehen
Zur Erfüllung aller Security- und Datenschutzauflagen gehören in der Regel drei bedeutende Aufgabenbereiche:
Einrichten eines effizienten Teamworks im Rahmen der "Shared Responsibility" zwischen Cloud-Anbieter und -Nutzer.
Definieren der internen und externen Sicherheits-Features die genutzt werden sollen.
Festlegen aller technischen und operativen Maßnahmen für den Cloud-Betrieb.
Dafür empfiehlt sich das Hinzuziehen eines erfahrenen Cloud-Security-Unternehmens. Vor allem, wenn es um große oder globale Projekte geht, sind fundiertes Fachwissen und umfassende Erfahrungen von großem Wert. Unternehmen, die sich auf solche Services spezialisiert haben, bieten unter anderem folgende Leistungen an:
Kontinuierliches, wertorientiertes Monitoring einer Hyperscaler-Cloud in nahezu Echtzeit
Überwachen aller Sicherheitsverfahren und Compliance-Auflagen
Analysieren und Managen der Konfiguration aller Cloud-Ressourcen
Einrichten einer Hardened Security Baseline, die als Ausgangspunkt für die Einrichtung und Implementierung einer maßgeschneiderten Account-Sicherheit genutzt werden kann.
Standardisierte Managed Cloud Landing Zones als Grundlage für Multi-Cloud, Identitäts- und Zugriffs-Management, Governance, Datenschutz und Protokollierung
Fazit
Der vermeintlichen Cloud-Unsicherheit stehen inzwischen viele Digitalisierungs- und Cloud-Projekte gegenüber, die gezeigt haben, dass mit Cloud Computing Innovationsvorteile realisierbar sind, was vielfach das entscheidende "Plus" im Wettbewerb ausmacht. Das bedeutet, dass die Cloud inzwischen auf Augenhöhe mit allen anderen etablierten Sourcing-Modellen ist und dass die wichtigen Cloud-Vorteile auch beim Einsatz einer Hyperscaler-Architektur realisierbar sind. Dabei gilt es aber zu beachten, dass trotz vieler technischer, organisatorischer und vertraglicher Standards, die Umsetzung in jedem Unternehmen individuell verschieden ist. Empfehlenswert ist es deshalb, ein auf Cloud-Security spezialisiertes Unternehmen hinzuzuziehen.