Es gibt keine Cloud, sondern nur die Computer anderer Leute
Wer seine Daten in die Cloud gibt, gibt sie auch aus der Hand. Das vergessen viele Unternehmen häufig recht schnell, wenn sich die ersten positiven Effekte des Cloud Computings bemerken. Daher ist es auch besonders wichtig, sich mit einigen Kernfragen zu den eigenen Daten zu beschäftigen, bevor man sie letztlich einem anderem anvertraut…
Inzwischen drängt sich Cloud Computing jeder Art zur Effizienzsteigerung geradezu auf. Aber was muss man beachten, damit man nicht plötzlich und unerwartet mit einem Daten-Super-GAU in der Zeitung steht?
Verschlüsselung der Daten schützt nur bedingt
Man darf beim Cloud Computing nicht aus den Augen verlieren, dass eine Verschlüsselung nur solche Daten schützt, die gerade nicht benutzt werden, und sie auch auf dem Übertragungsweg sichert. Zur Verarbeitung im Speicher sind die Daten aber immer unverschlüsselt. Dann hilft auch die beste Verschlüsselung nicht, denn wer Zugriff auf den Speicher hat, hat auch Zugriff auf Ihre Daten…
Also stellt sich als nächstes die Frage: Wer hat alles Zugriff auf diesen Cloud-Speicher? Das ist auf jeden Fall der Cloud-Anbieter selbst und je nach Gesetzeslage im Land des Anbieters meist auch die Behörden des jeweiligen Landes,was unweigerlich zu der Gretchenfrage führt:
Wem kann ich meine Daten anvertrauen? Ist die Auslagerung mit meiner Sorgfaltspflicht zu vereinbaren? Hat der Cloud-Anbieter ausreichende Kompetenz Sachen Security? Hat er aussagekräftige Zertifizierungen nach ISO und werden auch Service Level Agreements (SLAs) angeboten?
Die Klassifizierung Ihrer Daten nach Vertraulichkeit
Um diese Fragen beantworten zu können, müssen Sie Ihre Daten hinsichtlich ihrer Vertraulichkeit klassifizieren. Letztlich erfolgt die Absicherung dabei ganz klassisch nach den Prinzipien “Need to Know” und “Least Privilege”, aus denen Sie ableiten können, welche Daten außer Haus und welche nur intern verarbeitet werden dürfen. So gehören zum Beispiel erst vorbereitete Patentanträge auf keinen Fall auf ein Cloud-Laufwerk!
Wenn dann geklärt ist, welche Daten in die Cloud gehen dürfen, muss auch dafür gesorgt werden, dass sie nicht unbefugt manipuliert werden können und dass Manipulationen auch sofort erkannt werden. Dabei gelten im Grunde dieselben Regeln wie innerhalb der eigenen Infrastruktur:
Die technische Umsetzung der Verschlüsselung und von Integritätschecks muss dabei nach den neuesten und höchsten Standards realisiert werden. Denn beispielsweise manipulierte Berechnungen eines tragenden Bauteils könnten der Konkurrenz riesige und ungeahnte Vorteile am Markt verschaffen. Es ist sicher auch eine gute Idee, die Einhaltung dieser Regeln regelmäßig und unabhängig prüfen zu lassen.
Worauf es bei der Cloud Security wirklich ankommt
Erst wenn Sie das alles richtig umsetzen und die Datenklassifizierung in Sachen “Cloud-Fähigkeit” in Ihrer Security Policy verankert haben, sind Sie weitestgehend auf der sicheren Seite.
Dass für Server und Speicher in der Cloud mindestens dieselben oder besser noch strengere Sicherheitsmaßnahmen definiert sein müssen wie für interne Systeme, versteht sich dabei von selbst. Hier kann auch ein Audit nicht schaden, denn eine unabhängige dritte Partei ist nicht von der eigenen Betriebsblindheit betroffen…