Cloud Computing – Ratgeber Sicherheit

Blog - Header Hintergrund

Cloud Computing ist inzwischen Realität im B2B-Geschäft. Als echte Sourcing-Alternative bietet Cloud-Software den Unternehmen schnelle Skalierbarkeit der IT-Leistungen und verringert den IT-Administrationsaufwand. Allerdings stellt das Business vom Start-up über den Mittelstand bis hin zum Großkonzern heute völlig zu Recht große Anforderungen an die Datensicherheit. Inzwischen erwarten z. B. drei Viertel der Kunden von ihrem Cloud-Provider, dass er seinen Hauptsitz und seine Rechenzentren in Deutschland beziehungsweise in der EU hat.

Der Optimalfall

1. Cloud-Provider hat seinen Stammsitz in Deutschland
2. Cloud-Anwendungssoftware wird in Deutschland entwickelt
3. Hosting erfolgt nach deutschem Recht in einem deutschen, zertifizierten Rechenzentrum
4. Applikations- und Datenbankserver sind selbst im geschlossenen System über Firewalls getrennt



Kriterien für sichere Cloud-Dienste

RECHENZENTRUM
ISO-Zertifizierung (z. B. ISO/IEC 27001:2005, DIN EN ISO 9001:2000)
Hochsichere Gebäudetechnik (z. B. redundante Stromversorgung, vollautomatische Löschanlage, Alarmanlage)
Ausfallsichere Auslegung / Anbindung (z. B. multiredundante Vernetzung)

IT-INFRASTRUKTUR
Mehrere Firewalls
Mehrstufiges Sicherheitssystem
Tägliche Backups auf Festplatten und Bändern

VERSCHLÜSSELUNGSVERFAHREN
Ausschließlich verschlüsselte Übertragung (z. B. SSL-Technologie) nach Bankenstandard
Moderne Verschlüsselungsstandards (z. B. AES mit 256 Bit)
Server-Authentifizierung

DATENZUGRIFF
Authentifizierungssystem
Strenge Geheimhaltungspflichten (anbieterseitig)
Strenge Zutrittskontrolle Rechenzentrum

Praxis-Check – Transparenz, Audits, Standort

Seriöse Cloud-Anbieter haben das Thema Sicherheit hoch priorisiert. Letztlich hängt ihr eigener Geschäftserfolg davon ab. Thomas Wittmann, in Köln zugelassener Rechtsanwalt und Justiziar eines renommierten Private Equity Unternehmens, gibt praxisnahe Handlungsempfehlungen:

„Ein Unternehmen sollte einen Cloud-Anbieter auswählen, der seine Anwendung in einem zertifizierten Rechenzentrum im Land des Nutzers betreibt. Nur dann ist auch sicher, dass der Rechenzentrumsbetreiber den gleichen Datenschutzgesetzen unterliegt.“

„Aus juristischer Sicht sollte ein Unternehmen unbedingt eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung abschließen. In diesem Zusammenhang muss das Unternehmen die Zuverlässigkeit des Anbieters unter die Lupe nehmen.“

„Ein Unternehmer sollte den Anbieter explizit nach seinen Zertifikaten befragen – insbesondere danach, ob das Rechenzentrum in Bezug auf seine Abläufe von seriösen Dritten auditiert wird. Ist dies der Fall, kann sich der Kunde z. B. durch Anforderung des Audit-Berichtes gesetzeskonform von der Zuverlässigkeit des Anbieters überzeugen.“

„Man sollte […] den Cloud-Anbieter vor Vertragsabschluss einfach mal anrufen. Schnell wird man merken: Existiert der Anbieter nur als Internetseite oder ist er physisch greifbar?  Werden meine Fragen verständlich beantwortet? Gibt es Support im Umgang mit dem Dienst? Wie professionell ein Unternehmen mit Sicherheitsthemen umgeht, zeigt sich schon am Telefon: Seriöse Unternehmen beantworten Anfragen mit Lösungen.“

„Kleine oder mittlere Unternehmen können mit einem internetfähigen Rechner unter dem Schreibtisch nicht annähernd die Sicherheit abbilden, wie sie zuverlässige Rechenzentren mit Fachpersonal in professioneller Umgebung zu verhältnismäßigen Kosten vorhalten.“

Der Cloud-Vertrag – Mindestanforderungen

1. Zugang – Identifikation und Zugriff müssen mit organisatorischen, personellen, technischen Maßnahmen gesichert sein.
2. Ort der Datenspeicherung – IT-Entscheider fordern: „Datenspeicherung in Deutschland“ sowie „Verträge nach deutschem Recht“.
3. Zertifikate – Audit-Zertifikate bestätigen, dass die Verfahrensabläufe beim Cloud-Provider den rechtlichen Anforderungen genügen.
4. Vergütung und Zahlungsmodalitäten – Vergütung, Zahlungsmodalitäten, Vertragslaufzeit und Kündigungsfrist sollten transparent dargestellt sein.
5. Nutzungsvoraussetzungen – Der Vertrag muss Nutzungsvoraussetzungen, Art und Umfang und Mitwirkungspflichten des Kunden regeln.
6. Datenschutz – Der Vertrag mit dem Cloud-Provider muss die Einhaltung der Datenschutzanforderungen sicherstellen.
7. Datensicherheit – Der Cloud-Provider muss die Datensicherheit zu jeder Zeit garantieren (Monitoring der Datenverarbeitung).
8. Recovery – Der Anbieter muss in der Lage sein, die Daten im Störungs- oder Notfall wieder herstellen zu können.
9. Zukunftssicherheit – Der Vertrag regelt Rücktransfer und gesetzeskonforme Löschung der Daten bei Vertragsbeendigung.

Kostenloses Whitepaper
10 Tipps für die Digitalisierung in KMU - schnell und effizient digital
Erfahren Sie im kostenlosen Whitepaper, wie die Digitalisierung Ihr Unternehmen produktiver und wettbewerbsfähiger machen kann. Entdecken Sie die Vorteile und neuen Geschäftsmöglichkeiten.
Jetzt kostenlos herunterladen!
Whitepaper
Autor:in Stefan Maron
Das könnte auch interessant sein