5 Best Practices

Sicherer Einstieg in die Cloud

13.08.2015 von Christian Ebert
Lange Zeit zögerten Unternehmen, zumindest Teile ihrer IT-Infrastruktur in die Cloud zu verlagern. Nun aber kommt der Einsatz von Cloud-Diensten langsam voran. Der zentrale Einwand bleibt die Sicherheit der Daten. Anbieter, die Rechenzentren ausschließlich in Deutschland betreiben und als deutsche Unternehmen einzig der strengen deutschen Datenschutzgesetzgebung unterliegen, können hier im Gegensatz zu ausländischen Anbietern punkten. Fünf Best Practices veranschaulichen, wie eine effiziente und sichere Migration in die Cloud gelingt.
 
  • Wachsende IT-Herausforderungen für den Mittelstand
  • Warum Cloud Computing hier eine Lösung sein könnte
  • Für die Cloud geeignete Applikationen
  • Qualifizierten Cloud-Provider

Es gibt in Deutschland einen erheblichen Bedarf an Cloud-Lösungen. Vor allem Mittelständler sehen sich mit wachsenden IT-Herausforderungen wie einer steigenden Komplexität der IT, beschränkten IT-Budgets und einem Mangel an IT-Fachkräften konfrontiert. Statt weiterhin umfangreiche Infrastrukturen und alle Applikationen in einem Rund-um-die-Uhr-Betrieb selbst zu betreuen, entscheiden sich Unternehmen zunehmend für eine Auslagerung von IT-Systemen in eine sichere Cloud. Aus einer Vielzahl von Projekten, die führende ITK-Dienstleister für den Mittelstand in Deutschland in den letzten Jahren durchführten, haben sich fünf Best Practices für einen Einstieg in die Cloud herauskristallisiert.

1. Eine Bestandsaufnahme der IT-Infrastruktur durchführen

Am Anfang steht eine Ist-Analyse der vorhandenen Applikationslandschaft. Als Ergebnis liefert sie einen Überblick über die in einem Unternehmen eingesetzten Standardpakete, beispielsweise von Microsoft oder SAP, sowie die Individual-Applikationen, die in physischen und virtualisierten Umgebungen genutzt werden. Eine solche Ist-Analyse hat zudem den angenehmen Nebeneffekt, dass dabei nicht mehr verwendete Programme aufgespürt und deinstalliert werden können. Das macht die Applikationslandschaft schlanker und spart Lizenzkosten.

2. Geeignete Applikationen für eine Migration in die Cloud ermitteln

Sehr häufig existiert, vor allem im Mittelstand, eine komplexe, über viele Jahre entstandene IT-Infrastruktur, bei der die Anwendungen vielfältig miteinander verflochten und zum Teil voneinander abhängig sind. Dieses komplexe Beziehungsgeflecht muss offengelegt werden, damit klar wird, welche Auswirkungen es hat, wenn bestimmte Applikationen und deren Daten ausgelagert werden. Darüber hinaus sind in Branchen wie dem Finanzsektor oder dem Gesundheitswesen detaillierte regulatorische und Compliance-Gesichtspunkte zu berücksichtigen.

3. Einen qualifizierten Cloud-Provider auswählen

Wenn es um Datensicherheit und Datenschutz geht, sollten Unternehmen keine Kompromisse eingehen und sich für einen Partner entscheiden, dessen Rechenzentren ausschließlich in Deutschland betrieben werden. Nur eine Kombination aus deutschem Betreiber und dem Hosting in Deutschland sorgt dafür, dass für personenbezogene Daten ausschließlich das Bundesdatenschutzgesetz gilt. Ist der Betreiber eine US-Firma, erhalten die US-Behörden auch Einblick in deren hiesige Rechenzentren. Eine zusätzliche Sicherheit ergibt sich dann, wenn der Internetzugang und Datentransport über das eigene Netz eines Cloud-Providers erfolgt.

Mittelstand nutzt Verschlüsselung nicht konsequent genug
Foto: QSC / techconsult

4. Einen genauen Einblick in das IT-Sicherheitskonzept des Providers erlangen

Der Cloud-Provider muss nachweisen, dass er über ein umfangreiches und zuverlässiges IT-Sicherheitskonzept verfügt. Dieses muss alle Aspekte berücksichtigen, die die Integrität und Vertraulichkeit der personenbezogenen Daten gefährden könnten. Dazu gehören die regelmäßige, systematische Überwachung aller Infrastrukturkomponenten sowie die Aufzeichnung und Auswertung aller Logfiles. Ein wichtiger Beleg für die Einhaltung hoher IT-Sicherheitsstandards sind Referenzprojekte und vor allem formelle Zertifizierungen nach ISO/IEC 27001. Ein Cloud-Provider dokumentiert damit, dass er die dazu notwendigen, anspruchsvollen Maßnahmen bezüglich seines Informationssicherheits-Managements umgesetzt hat und deren Einhaltung immer wieder von externen Prüfern bestätigen lässt.

5. Bei besonders hohen Anforderungen Daten verschlüsselt übertragen

Werden vertrauliche Daten in die Cloud verlagert, sollten Unternehmen vorab prüfen, welche Möglichkeiten der Cloud-Provider für eine Verschlüsselung anbietet. Eine reine Transportverschlüsselung mit HTTPS und SSL ist für die hohen Anforderungen der Revisions- und Rechtssicherheit nicht ausreichend. In solchen Fällen ist eine Ende-zu-Ende-Verschlüsselung notwendig; das heißt, sie beginnt auf dem Endgerät des Versenders und umfasst den gesamten Übertragungsweg bis hin zum Cloud-Provider. Dieser sollte für eine zusätzliche Sicherheit sorgen, indem er die Daten der Kunden auch auf seinen Speichersystemen verschlüsselt ablegt.

Auszüge aus dem Bitkom Cloud Monitor 2015 (Teil 2)

Compliance Sorgen sind oft unbegründet.

Angreifer haben es meist nicht auf die Cloud abgesehen. (Quelle: Bitkom Cloud Monitor 2015)

Diese Anforderungen haben Kunden an ihre Cloud-Anbieter. (Quelle: Bitkom Cloud Monitor 2015)

Gerade der Mittelstand kann von Cloud Computing profitieren, denn ausgewählte Cloud-Lösungen sind der erste Schritt, wenn Unternehmen ihr vorhandenes IT-Budget effizienter einsetzen wollen, um flexibler auf neue Herausforderungen reagieren zu können. Festzuhalten ist aber auch, dass einerseits die Zahl der deutschen Unternehmen, die für Cloud Computing aufgeschlossen sind, steigt und andererseits viele nach wie vor skeptisch sind - vor allem weil sie um die Sicherheit ihrer Daten fürchten. Hier bleibt auch für Cloud-Anbieter, die ihre Rechenzentren ausschließlich in Deutschland betreiben, noch einiges an Überzeugungsarbeit zu leisten. (rw)