Kernprozesse in die Cloud verlagern

Datenschutz und Compliance

von - 03.02.2017
Bei jeder Migration in die Cloud müssen regulatorische und gesetzliche Vorgaben beachtet werden. Gerade bei den Kernprozessen ist dies besonders kritisch, denn sie verarbeiten häufig sensible, personenbezogene Daten oder sind selbst Teil des geistigen Eigentums eines Unternehmens. Auch die Applikationssicherheit ist bei solchen Anwendungen besonders wichtig. Ein Einbruch könnte dem Angreifer sonst womöglich direkten Zugriff auf das Zentrum des Unternehmens erlauben. Compliance, Datenschutz und Sicherheit stehen deshalb an oberster Stelle, wenn es um die Frage der Migration einer unternehmenskritischen Anwendung in die Cloud geht. Vor allem amerikanische Cloud-Anbieter stehen unter dem Generalverdacht, dass sie es mit dem Datenschutz nicht so genau nehmen und aufgrund von gesetzlichen Vorgaben wie dem Patriot Act sogar verpflichtet sind, Kundendaten an US-Behörden und Geheimdienste herauszugeben.
Constantin Gonzalez
Principal Solutions Architect bei Amazon Web Services (AWS)
„Der stark industriali­sierte Rechenzentrums­betrieb in der Cloud bietet deutliche Vorteile für die Zuverlässigkeit.“
Mit verschiedenen vertrauensbildenden Maßnahmen versuchen sie, diese Bedenken zu zerstreuen. Amazon stellt beispielsweise in seinem Sicherheitszentrum unter www.aws.amazon.com/de/compliance und www.aws.amazon.com/de/security ausführliche Informationen über Zertifizierungen, Testate und Sicherheitsmaßnahmen zur Verfügung. Microsoft hat mit Azure Deutschland sogar eine eigene Cloud für Deutschland mit T-Systems als Treuhänder geschaffen, um die Furcht vor unberechtigten Zugriffen zu zerstreuen. Rackspace bietet eine Compliance Assistance an, die bei der Umsetzung von Richtlinien helfen soll, und auch Google hält ausführliche FAQs zu den Themen Compliance und Sicherheit bereit.
Bei allen Sicherheitsmaßnahmen, Zertifikaten und Audits muss dem Kunden jedoch klar sein, dass letztendlich er die Verantwortung sowohl für die Einhaltung der Richtlinien und Gesetze als auch für seine Applikationen trägt. Je nach Bereitstellungsmodell muss er selbst für die Sicherheit von Betriebssystem und Applikationen, Netzwerk und Firewall sorgen. „Wir geben ihm Schlüssel und Schloss in die Hand“, sagt Constantin Gonzalez von AWS, „der Kunde muss selbst sicherstellen, dass an den richtigen Stellen auch abgeschlossen wird.“ Für deutsche Kunden hat AWS ein Arbeitsheft erstellt, das zeigt, wie Anwender die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz-Richtlinien in der Cloud umsetzen können. Ohnehin ist nach Ansicht von Gonzalez die Frage, ob eine Infrastruktur im eigenen Rechenzentrum oder in der Cloud betrieben werde, gar nicht die entscheidende: „Compliance und IT-Sicherheit sind primär eine Frage der Prozesse.“ So bleibt es letztlich auch dem Anwender überlassen, ob er den Zusicherungen der Cloud-Anbieter vertraut oder ob er alle Daten Client-seitig verschlüsselt und so dem Cloud-Anbieter prinzipiell die Möglichkeit nimmt, auf sensible Informationen zuzugreifen.
Verwandte Themen