Hybride Cloud

Sind Cloud Services ein Sicherheitsrisiko?

Unternehmen nutzen Cloud Dienste bereits  seit einigen Jahren. Als Privatpersonen nutzen wir sie ebenfalls, wie zum Beispiel klassische Mail- oder auch Hosting-Diensleister für Websites. Sollten Unternehmen auf mehr Cloud Services setzen?

Wir unterscheiden in drei verschiedene Typen von Cloudlösungen. Da ist zum einen die Public Cloud. Es handelt sich um Dienste die über das Internet bezogen werden können wie zum Beispiel Microsoft Office 365, Google Web und Doc sowie SAP oder DATEV Dienste. Wir sprechen von einer Private Cloud wenn wir ausschließlich in einem geschützten und privaten Netzwerk Dienste selber betreiben. Insbesondere wenn wir aufgrund der Datenschutzanforderungen nur eigenen Mitarbeitern Zugang zu skalierbaren IT-Infrastruktur-Diensten geben. Privat nutzen wir typischerweise NAS Dienste und ihre Erweiterungen wie OpenStack oder ownCloud. Die Mischform beider vorigen Typen wird als Hybrid Cloud bezeichnet. Geschäftprozesse werden in datenschutzkritische und -unkritische Workflows unterschieden und somit auf unterschiedlicher Infrastruktur betrieben.

Eine Studie von intel vom Februar 2017 kommt zu dem Ergebnis, dass es wichtig ist, seine Sicherheitslösungen (egal ob in-House oder Cloud) durch eine einheitliche Steuerungsebene zu überwachen. Das bedeutet das Unternehmen entweder ein eigenes Security-Management aufbauen sollten, oder unseren Service von stealNOdata nutzen können. Unser CISO-Office vereint die notwendige Technik, die notwendigen Prozesse und hat die Experten um ein ISMS, also ein Informations Sicherheits Management System zu betreiben. Dort laufen die Fäden für die Überwachung externer Dienstleister zusammen bzw. die Prüfung von Outsourcing-Verträgen, den SLAs.

Insgesamt kann man festhalten dass viele Unternehmen bereits Cloud-Services nutzen und Ihre Business-Cases darauf ausgerichtet haben. Man kann auch festhalten dass es ein hohes Maß an Verständigung mit dem Cloud-Anbieter braucht, da Risiken nicht minimiert sondern aufgeteilt werden. Insbesondere bei Nutzung mehrerer Public Cloud Services stellt die übergreifende Verteilung von Geschäftsprozessen eine neue Abhängigkeit zwischen den Cloud-Anbietern her. Der Anbieter mit den niedrigeren SLAs erzeugt die meisten Kopfzerbrechen. Vertraulichkeit, Verfügbarkeit und Integrität werden zum Produkt einer gemeinschaftlichen Anstrengung. Wir nutzen bereits viele Cloud-Lösungen. Folglich müssen wir sehr genau abwägen welche Daten und Prozesse wir in eine Public Cloud auslagern wollen. Dies hängt nicht zuletzt von unserer Datenklassifizierung ab, die sich aus einer Sicherheitsleitlinie ergibt, und diese wiederum aus den Geschäftszielen abgeleitet werden muss. Das ist der richtige Ansatz zur Planung, Durchführung und Überwachung von ausgelagerten Diensten.