Die richtige Cloud kann auch Compliance Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


06.07.2010 EMC/Rudolf Felser

Die richtige Cloud kann auch Compliance

Cloud-Computing gehört derzeit zu den wichtigsten strategischen Überlegungen bei den IT- und Finanzchefs.

Auch Gartner hat bei den aktuellen IT-Trends das Rechnen in der Wolke auf Platz eins gesetzt. Für 2012 rechnen die Marktexperten damit, dass 20 Prozent aller Unternehmen überhaupt keine eigene IT-Infrastruktur mehr besitzen werden. Laut einer Umfrage von Brocade wiederum ist sogar in rund 60 Prozent der Unternehmen der Einsatz eines Cloud Computing-Modells in den nächsten zwei Jahre geplant (siehe auch "Europa ist in der Cloud angekommen").

Diesen Trend bestätigen auch die sehr guten Geschäftsergebnisse der Cloud Provider im letzten Jahr – von Wirtschaftskrise keine Spur. Doch während vor allem große Unternehmen auf breiter Front Cloud Services für sich nutzen, reagieren die mittelständischen Unternehmen meist noch zurückhaltend. Der häufigste Grund für diese Skepsis ist die fehlende Kontrolle über die Daten, sobald diese in die Wolke verschoben werden.

Oft ist es kompliziert genug, die jeweiligen branchenspezifischen Compliance-Auflagen hausintern umzusetzen. Folglich wird einer externen Lösung eine ausreichende IT-Compliance a priori abgesprochen. Dabei sind Cloud-Anwendungen mit sensitiven Daten und Prozessen überhaupt nicht neu. Lohn- und Gehaltsabrechnungen wurden schon vor Jahrzehnten ausgelagert, ohne dass es dabei zu relevanten Compliance-Problemen gekommen ist. Doch die neuen Cloud-Lösungen verarbeiten proprietäre Produktinformationen, sensitive Finanzdaten oder Nachweise von bestimmten Produktionsauflagen. Hierzu lauten die Fragen der Geschäftsleitung an die Cloud-willigen IT-Chefs dann: "Lassen sich Compliance-relevante Prozesse und Daten überhaupt in die Cloud verlagern? Gibt es ausreichende Standards und Absicherungen, die die erforderlichen Compliance-Auflagen gewährleisten? Und sind diese Daten und Programme auch ausreichend revisionsfähig?"

KEIN GRÖSSERES RISIKO Alle Antworten darauf beginnen – wie so häufig – mit der Einschränkung: "Das kommt darauf an…", denn genauso wie bei allen Technologieanwendungen, müssen auch beim Cloud Computing vorher die jeweiligen Risiken und potentiellen Gefahren geklärt sein. Danach gilt der bekannte Satz: "Gefahr erkannt – Gefahr gebannt." Denn das Compliance-Risiko von Cloud-Anwendungen ist nicht größer oder kleiner als bei der internen IT-Nutzung – es ist nur anders. Die erforderliche Risikoanalyse für das Auslagern der IT-Dienste beginnt mit einer genaueren Betrachtung der jeweiligen Cloud-Art. Man muss unterscheiden, ob es sich dabei um einen Infrastruktur-, Plattform- oder Software-Service handelt. Generell gesagt, bietet eine Infrastruktur-Cloud wesentlich bessere Kontrollmöglichkeiten über die Daten als eine Plattform-Cloud oder gar ein Software-as-a-Service (SaaS). Hinzu kommt die Frage, ob es sich um eine interne, externe oder gemischte Cloud handelt. Eine spezielle Cloud-bezogene Compliance-Relevanz besteht jedoch nur bei externen oder gemischten Clouds.

Um die Überprüfung der Compliance zu beschleunigen, sollte der gewünschte Cloud Provider nachweislich bereits Lösungen und Kunden haben, die aus der gleichen Branche stammen, denn die Auflagen sind von Branche zu Branche sehr unterschiedlich. Als Beispiele sei auf das Sarbanes-Oxley-Gesetz bei den US-Konzernen, auf die PCI-Auflagen für die Speicherung von Kreditkartendaten oder die REACH-Forderungen in der Chemie verwiesen. Ein besonderes Problem der Daten-Compliance besteht darin, dass in Europa verschiedene personenbezogene Daten nicht außerhalb des Hoheitsgebietes abgelegt werden dürfen. Das heißt, der Himmel für die Wolken ist nicht grenzenlos. Cloud Provider, die bereits entsprechende Anwendungen betreiben, sollten den Kontakt zu ihren Kunden herstellen. Cloud-Interessierte erhalten so Informationen zur Einhaltung der jeweiligen Compliance-Auflagen. Bei diesen Gesprächen ist zu klären, welche Geschäftsprozesse und Daten diese Unternehmen in die Cloud verlagert haben und welche Art von externen Cloud-Services sie nutzen. Das alleine ist aber noch keine Garantie dafür, dass auch alle Auflagen erfüllt wurden. Im Zweifelsfall empfiehlt es sich einen juristischen oder externen Sicherheits-Experten mit einzubinden.

SCHRIFTLICHE ABSICHERUNG Am Ende dieser Compliance-Überprüfung muss dann sichergestellt sein, dass der Provider alle seine Zusagen auch schriftlich bestätigt. Am sinnvollsten erfolgt dieses im Rahmen der ohnehin erforderlichen Service Level Agreements (SLA). Ein wichtiger Punkt in dieser Vereinbarung ist die Revisionsfähigkeit. Ein Cloud-Provider muss bereit sein, seine IT-Prozesse einer genauen Überprüfung zu unterziehen. Es ist sehr empfehlenswert, sich auch hier die Namen von Unternehmen geben zu lassen, die solche Audits bei diesem Provider bereits durchgeführt oder in Auftrag gegeben haben. Zu beachten ist weiterhin, dass sich der Cloud-Nutzer nicht von seiner unternehmerischen Verantwortung trennen kann. Er ist es, der alle erforderlichen Nachweise beibringen muss. Der Cloud-Provider ist hierbei nur ein Lieferant, dem man zwar viele Vorschriften machen kann, der aber nicht die Endhaftung übernimmt. Das alles liest sich vielleicht ein wenig aufwändig und kompliziert – ist aber nicht mehr als das, was auch bei jeder Anschaffung einer Anwendungssoftware oder bei der Wahl eines Zulieferers an Hausaufgaben zu erledigen ist.

Letztlich ist noch ein weiterer Punkt bei der Auslagerung von Daten und Prozessen an einen Cloud Provider zu berücksichtigen: Die knallharte rechtsverbindliche Formulierung von Verantwortlichkeiten mit einem Cloud Provider ist meistens wesentlich präziser und sicherer als eine vage interne Regelung die auf Absprachen, Meeting-Protokolle oder Hausanweisungen basiert. Auch die Motivation bezüglich der Einhaltung aller SLAs und Compliance-Auflagen ist bei einem externen Service Provider generell höher anzusetzen, da dieser bei Verstößen ganz schnell sein Geschäft verliert.

"Unternehmen, die ihre Schritte in die Cloud sorgfältig planen und umsichtig realisieren sind weder in puncto Sicherheit noch bei der Compliance schlechter gestellt als ihre Konkurrenten, die alles im eigenen Haus lösen – doch die Cloud-Nutzer haben ihren Konkurrenten gegenüber ganz erhebliche wirtschaftliche Vorteile", sagt Gartner-Fellow Brian Gammage über die entscheidenden Business-Vorteile.

Aus ON Frühling 2010, Kundenmagazin EMC Computer Systems.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: