Sicherheit für Cloud-Dienste: Interview mit Matthias Kunisch, Forcont

Cloud-Zertifikate von TÜV, Cloud-Eco-System & Co.

Interview mit Matthias Kunisch, Geschäftsführer der Forcont Business Technology GmbH, über nützliche Zertifizierungen und Gütesiegel für das Cloud Computing

Matthias Kunisch, Geschäftsführer der Forcont Business Technology GmbH

ITM: Herr Kunisch, anhand welcher Zertifizierungen oder Gütesiegel können mittelständische Verantwortliche die Qualität und Sicherheit von Cloud-Services bewerten?
Matthias Kunisch:
Zertifikate entbinden den Nutzer nicht von der verantwortungsbewussten Prüfung eines Dienste-Anbieters. Dennoch ist es eine gute Idee, zum Beispiel auf das Zertifikat des Cloud-Eco-Systems „Trust in Cloud“ Wert zu legen. Darüber hinaus gibt es Zertifikate vom TÜV oder auch Zertifizierungsinitiativen vom Bundesministerium für Wirtschaft und Technologie.

ITM: Wie sollten Mittelständler am besten vorgehen, wenn sie bestehende Systeme in die Wolke eines Cloud-Service-Providers hieven möchten?
Kunisch:
Beabsichtigt man die Intention, bestehende Systeme in die Cloud zu „hieven“, ist man noch nicht bei erfolgreichem Cloud Computing angekommen. Sie müssen zuerst prüfen, welche Geschäftsprozesse durch die Cloud effektiver unterstützt werden können. Herrscht über diesen Punkt Klarheit, kann und muss man sich als nächstes über die technischen und organisatorischen Aspekte, wie man am besten in die Cloud geht, Gedanken machen.

ITM: Worauf sollte bei einer solchen Migration in die Cloud vor allem geachtet werden? Welche Hürden müssen gemeistert werden?
Kunisch:
Wie gesagt, der Weg in die Cloud ist vor allem prozessgetrieben und weniger eine technische Hürde. Danach kommt die Frage der Datenspeicherung, der Sicherheit, der Datenhoheit, der Integration und natürlich auch der Kosten. Da die Anzahl der Cloud-Anbieter noch überschaubar ist, kann man über diese Punkte auch mit ihnen sprechen!

ITM: Einbahnstraße Cloud Computing? Wie können Unternehmen die einmal in die Cloud gegebenen Systeme bzw. Applikationen wieder in einen herkömmlichen Eigenbetrieb zurückholen? Oder ist die Entscheidung zugunsten einer Cloud per se eine Einbahnstraße?
Kunisch:
Die wesentliche Voraussetzung, um nicht für alle Zeit in der Cloud fest verankert zu sein, ist die, dass der Nutzer stets Herr über seine Daten bleiben muss. Zu jeder Zeit muss er in der Lage sein, die Daten zurückzuholen. Dann reduziert sich das Problem auf die Migration zu einem anderen Anbieter, egal ob On-Premise oder in der Cloud.

ITM: Wie aufwendig ist die Migration von einem zum anderen Cloud-Service-Partner? Wie kann dies ohne Ausfallszeiten für den Kunden realisiert werden bzw. welche weiteren Hürden sind denkbar?
Kunisch:
Der Aufwand lässt sich nicht pauschal beziffern, ohne über die konkrete Software bzw. den jeweiligen Dienst zu sprechen. Der Wechsel des IaaS-Anbieter, d.h. des Rechenzentrums, ist technisch nicht so problematisch. Schwieriger wird es, wenn man den PaaS-Anbieter wechselt und somit z.B. Schnittstellenproblemen oder Änderungen in der Abrechnungsmethodik gegenüberstehen. Sehr aufwendig ist der Wechsel des konkreten Dienstes, z.B. von einem ERP-System zum nächsten. Deshalb ist es so wichtig, immer die Datenhoheit zu behalten!

ITM: Wie kann man vollkommen sicher gehen, dass ein Cloud-Service-Provider nach Vertragsschluss auch wirklich alle Daten des Anwenderunternehmens löscht? Und dies auch noch sicher sowie datenschutz-/rechtskonform?
Kunisch:
Einen hundertprozentigen Schutz gibt es an keiner Stelle. Da der Nutzer das Rechenzentrum in der Regel nicht betreten darf und durch die Virtualisierung die Zuordnung der gespeicherten Daten zu einem konkreten Speichermedium schwierig ist, bleiben nur eine vertragliche Regelung und Zertifizierungen. Im Übrigen kann man sich ein Löschprotokoll erstellen lassen.

ITM: In bestimmten Branchen müssen Anwenderunternehmen ein Auditing ihrer eingesetzten IT-Lösungen vornehmen lassen (z.B. in der Pharma- oder Lebensmittelindustrie) – wie wird bei diesen Audits der Umgang mit Cloud-Lösungen derzeit gehandhabt?
Kunisch:
Hier sollte man proaktiv vorgehen und vor der Nutzung einer Cloud-Lösung mit den Auditoren sprechen und entsprechende Verfahren festlegen, um dem jeweiligen Sicherheitsbedürfnis nachzukommen. Ohne eine vertragliche Fixierung dieser Verfahren und ihrer Erfüllung durch den Dienste-Anbieter, für die man im On-Premise-Betrieb selbst sorgen muss, geht es natürlich nicht.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok