WORLD OF TECHNOLOGY
Themen
Unsere Magazine
Specials

 

Sicherheitsstandards für Cloud-Dienste

Datensicherheit und Datenschutz in der Cloud

Geht es um Datensicherheit und Datenschutz in der Cloud, sollten folgende Fragen geklärt sein: Welche Risiken bestehen in der Cloud, welche Maßnahmen sollte man einleiten und was muss bei der Wahl des Cloud-Anbieters beachtet werden?

Blitz, Bildquelle: iStockphoto.com/Solarseven

Schutz vor Blitz und Donner: Datensicherheit in der Cloud kann funktionieren.

Immer mehr Unternehmen lagern Teile ihrer Produktionsinfrastruktur aus und greifen auf die Rechnerwolke zurück. So zeigt eine beim Markt- und Beratungsunternehmen IDC in Auftrag gegebene Studie, dass Cloud Computing zunehmend zu einem wichtigen Erfolgsfaktor wird. Dennoch: Wer Cloud Computing nutzt, darf die Risiken nicht ignorieren. Auch die Datensicherheit und der Datenschutz müssen gewährleistet sein. Zuletzt hat der Skandal über das US-amerikanische Abhörprogramm Prism die Absicherung von Daten wieder in den Vordergrund gerückt. Von daher sind zur Zeit Cloud-User besonders sensibilisiert. Doch wo sind Unternehmensdaten überhaupt noch sicher?

Beim Schritt in die Cloud ist zunächst darauf zu achten, dass der Datentransfer verschlüsselt erfolgt. Neben der Anmeldung mit Log-in-Name und Passwort sorgt die Zwei-Faktor-Authentifizierung (zusätzliche Eingabe einer Mobile PIN oder mit digitaler Identität z.B. mit dem neuen Personalausweis) für höhere Sicherheit. Zwar wird dadurch ein zusätzlicher Schritt beim Anmeldevorgang notwendig. Dennoch ist gerade die Anmeldung mit Mobile PIN vom Anwender bereits gelernt, schließlich verwendet er diese etwa regelmäßig für Online-Überweisungen. Wenn erst einmal die Rufnummer beim Cloud-Anbieter hinterlegt ist, funktioniert der Log-in mittels Mobile PIN zügig. Die höchste derzeit erreichbare Authentifizierungsstufe wird mit dem neuen, digitalen Personalausweis erreicht. Dieser sorgt für Klarheit, mit wem man in der Cloud zusammenarbeitet, da eine staatliche Autorität die Identität des Cloud-Teilnehmers verifiziert. Alle Ausweisdaten und Programme für die Bearbeitung dieser Daten sind mit dem Chip des Ausweises verknüpft und können nur verwendet werden, wenn der Anwender sowohl im Besitz des digitalen Ausweises ist als auch die PIN zur Freischaltung weiß.

Audits und Zertifizierungen

Ein wichtiges Kriterium ist die Zertifizierung und Prüfung der Anbieter. Zertifizierungen von unabhängigen Prüfungsstellen geben Gewissheit, dass die hohen Standards für Sicherheit und Zuverlässigkeit gewährleistet und die Abläufe des Cloud-Betriebs korrekt sind und eingehalten werden. Zudem ermöglichen manche Cloud-Anbieter ihren Kunden, selbst ein Audit, also eine Kontrolle der Sicherheitsvorkehrungen und der Betriebsabläufe, durchzuführen.

Notwendig für Cloud-Services ist das Zertifikat ISO 27001. Diese Norm ist ein weltweiter Standard für die Bewertung der Sicherheit von IT-Umgebungen. Kunden können damit sicher sein, dass der Anbieter die gesetzlichen Datenschutzverpflichtungen mit größtmöglicher Sorgfalt und nach dem Stand der Technik erfüllt. Desweiteren ist die ISO-Norm 20000 international für das IT-Servicemanagement anerkannt und dient als messbarer Qualitätsstandard. Sie ist eine Ergänzung zur ISO 27001 für Informationssicherheit und zur Qualitätsmanagement-Norm ISO 9001.

Daneben existieren weitere Prüfkriterien: So soll das Cloud-Gütesiegel „Euro Cloud Star Audit SaaS“ die Rechtssicherheit erhöhen. In enger Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat der deutsche Verband Eurocloud Deutschland Eco einen Prüfkatalog für Anbieter entwickelt. Mit der Cloud-Sicherheitszertifizierung des TÜV Rheinland beweist ein Unternehmen Seriosität, Qualität und Sicherheit des Angebotes und zeigt Vertrauenswürdigkeit und Transparenz im Umgang mit  Kundendaten. So wird bei dieser Zertifizierung die Architektur des Cloud-Dienstes geprüft und eine funktionale Analyse aus Sicht des Anwenders durchgeführt.

Generell ist der Speicherort der Daten für das gesamte Sicherheitskonzept bedeutend. Manche Anbieter lassen dem Kunden die Wahl, in welchem Land die Daten gespeichert werden. Bei geschäftlicher Zusammenarbeit sollte garantiert sein, dass die geschäftlichen Daten und Dokumente den deutschen Richtlinien für Datenschutz und -sicherheit unterliegen.

Hochsicherheitsrechenzentren sind die Grundvoraussetzung für sichere Datenspeicherung. Die gesamte Hard- und Software-Umgebung muss für hohe Verfügbarkeit, Zuverlässigkeit, einfache Skalierbarkeit sowie einfache Wartung ausgelegt sein. Ein Backup der Metadaten muss mindestens einmal täglich gemacht werden. Inhalte sollten laufend synchron gespeichert werden. Auch die Quellcodes für die Cloud-Dienste inklusive der Betriebs- und Datenbanksysteme sollten vollständig in Europa – idealerweise allesamt beim Anbieter – liegen. Damit sind Hintertüren in der Cloud ausgeschlossen.

 

Cloud-Sicherheit unter der Lupe

Bei der Auswahl eines Cloud-Anbieters sollten IT-Verant­wortliche auf folgende Sicherheitsstandards achten:

  •   Zwei-Faktor-Authentifizierung mit Mobile PIN und Digital-ID
  •   Zertifikat ISO 27001
  •   Zertifikat ISO 9001
  •   Zertifikat ISO 20000
  •   Standard ISAE 3402
  •   Euro Cloud Star Audit SaaS
  •   Cloud-Sicherheitszertifizierung des TÜV Rheinland
  •   Standort des Rechenzentrums
  •   Wahl des Speicherorts
  •   Quellcode in den Händen des Anbieters

Quelle: Fabasoft D Software GmbH

Bildquelle: iStockphoto.com/Solarseven

Zurück

Ähnliche Nachrichten

Die Tüv-Tochter Uniscon will Licht ins Dunkel bringen
DSGVO: Was wird aus bestehenden Zertifikaten?

Sicherheits-Nachweise für die Cloud

Einige Cloud-Anbieter werben bereits jetzt mit DSGVO-zertifizierten Diensten - aber ist das...

weiterlesen
Stärkung der IT-Industrie in der EU: Interview mit Helmut Fallmann, Fabasoft

Chancen einer Cloud für Europa

Helmut Fallmann, Mitglied des Vorstandes der Fabasoft AG, plädiert für eine Stärkung der...

weiterlesen
Cloud, Bildquelle: Thinkstock/iStock
Security-Strategie

Risikomanagement aus der Cloud

In Sachen Risikomanagement bieten sich mittlerweile viele unterschiedliche ­Maßnahmen an, die...

weiterlesen
Interview mit Dr. Stephan Klein, Governikus GmbH

„IT-Leiter müssen sorgsamer mit Personendaten umgehen“

Sichere elektronische Kommunikation ist nur mit Verschlüsselung und Authentisierung gewährleistet....

weiterlesen
Christoph Müller-Dott, Orange
Cloud-Standards: Interview mit Christoph Müller-Dott, Orange Business Services

IT-Vernetzung ohne Stolperfallen

Im Interview beleuchtet Christoph Müller-Dott, Managing Director Germany & Austria bei Orange...

weiterlesen
Hinter Gittern, Bildquelle: Thinkstock/Digital Vision
Interner Datenmissbrauch

Die Cloud hinter Gittern

Wenn es um Datensicherheit geht, halten sich Cloud-Dienst-Anbieter bedeckt: Sie erklären zwar oft,...

weiterlesen
Wolken, Bildquelle: Thinkstock/iStockphoto
PAC-Studie

Private Clouds steigern die Datensicherheit

Laut einer aktuellen Studie des Analyse- und Beratungsunternehmens Pierre Audoin Consultants (PAC)...

weiterlesen
Versteckte Sicherheitsrisiken von IT-Systemen

Im Visier der Angreifer

Cyber-Attacken gestalten sich immer perfider und ihre Anzahl nimmt stetig zu. Hierzulande bedrohen...

weiterlesen

Web-Promotion: PlusServer

pluscloud open

Die PlusServer GmbH bietet bereits heute eine GAIA-X kompatible Lösung an, um Unternehmen bei der Digitalisierung zu unterstützen

>>> jetzt mehr erfahren

Web-Special Axway

Offene Architektur für starke Ökosysteme
Die Geschäftswelt ist heute vernetzter denn je – umso wichtiger wird es, diese Realität auch in der IT-Architektur abzubilden.

>>> jetzt mehr erfahren

Newsletter
IT-ZOOM Newsletter
Gratis E-Paper Ausgabe
IT-DIRECTOR E-Paper
MEDIENHAUS Stellenmarkt
StepStone auf IT-MITTELSTAND
©2021Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok