Wenn man den Schritt hin zu (externen) Cloud-Anbietern wagt, bekommt das Thema Sicherheit Priorität. Doch wie kann man wirklich sicherstellen, dass die eigenen Informationen auch „draußen“ gut geschützt sind? Dieser Beitrag enthält zehn wichtige Regeln, um beim Cloud Computing auf Nummer sicher zu gehen.

Beim Cloud Computing gibt es ohne Frage Unterschiede zwischen verschiedenen Arten externer Clouds. Da wäre zum einen die externe private Cloud, also eine (mehr oder weniger) dedizierte Infrastruktur bei einem externen Provider.

Dem stehen Public Clouds gegenüber: Infrastrukturen, bei denen Dienste in mandantenfähiger Form für viele Kunden angeboten werden. Man denke hier an Microsoft BPOS, Amazon EC2, Google Apps, Salesforce.com und wie sie alle heißen.

Bei der Sicherheit gibt es allerdings Regeln, die grundsätzlich gelten – und zwar nicht nur für das Cloud Computing. In den meisten Fällen betreffen sie auch die interne IT, wenn auch manchmal in abgewandelter Form. Die wichtigsten Regeln aus meiner Sicht sind:

1. Durchgängige Richtlinien und Prozesse für die Informationssicherheit: Es gibt nicht die interne und die externe Informationssicherheit! Es muss einen konsistenten Ansatz mit organisatorischem Rahmen, Regelwerken, Richtlinien und Prozessen für die gesamte IT geben.

2. Risiko-orientierte Vorgehensweise und Schutzbedarfsanalyse: Die Entscheidung darüber, wo welche Informationen liegen und welche spezifischen Anforderungen an Cloud Provider zu stellen sind, muss strukturiert erfolgen. Das geht nicht ohne ein Risikomanagement-Konzept und es geht nicht ohne Schutzbedarfsanalyse.

3. Strukturierte, risikoorientierte Prozesse für die Auswahl von Dienstanbietern: Die Auswahl von Cloud Providern muss standardisiert und zentralisiert erfolgen. Sie darf nicht dezentral und unkoordiniert vorgenommen werden.

4. Klar definierte Service Level Agreements: Was die Anbieter zu liefern haben, muss vorab definiert sind. Eindeutig. Messbar.

5. Nachvollziehbarkeit der Service-Erbringung und -Qualität: Entsprechend muss auch gemessen werden, was die Anbieter liefern.

6. Gezielte Verschlüsselung von Transportwegen und Informationen: Dort, wo eine Verschlüsselung machbar ist und wo sie aufgrund des Risikos erforderlich ist, muss sie auch umgesetzt werden.

7. Durchgängiges Identitäts- und Berechtigungsmanagement: Das Management von Benutzern und Autorisierungsregeln muss konsistent sein. Standards wie SAML, SPML oder XACML helfen dabei. Noch wichtiger ist aber das Konzept dahinter.

8. Management und Kontrolle von privilegierten Benutzern: Privilegierte Zugriffe müssen kontrolliert werden – und das nicht nur in der Cloud. Was können die Operatoren und Administratoren machen? Und welche potenziellen Schäden können die privilegierten Benutzer des Cloud Providers anrichten?

9. Nutzung von Anonymisierungs- und Maskierungstechnologien: Nicht immer müssen die echten Daten in der Cloud liegen. Neue Technologien im Bereich der Anonymisierung und Maskierung von Daten gewinnen an Gewicht.

10. Vordefinierte Fallback- und Migrationsszenarien: Schließlich muss man die Daten auch zuverlässig und vollständig zurück bekommen. Das hat auch mit Sicherheit und nicht nur mit Verfügbarkeit zu tun, weil dazu von vornherein die Regeln gehören, die sicherstellen, dass keine Daten beim Provider verbleiben.

Deutlich wird dabei: Sicherheit in der Cloud ist mehr ein organisatorisches als ein technisches Thema. Technologie ist wichtig und es gibt manche Technologie, die noch reifen muss – im Bereich Information Rights Management, im Bereich Autorisierung, im Bereich der Verarbeitung von verschlüsselten Informationen, um nur einige Beispiele zu nennen.

Entscheidend ist aber, dass man die Organisation, Prozesse und Richtlinien definiert. Nur so kann man überhaupt entscheiden, was man in welcher Form und unter welchen Voraussetzungen mit welchem Cloud-Anbieter machen kann und will.