Cloud-Computing nur mit Sicherheitskonzept

Cloud-Services funktionieren nur mit einem Sicherheitskonzept reibungslos, das alle Risikobereiche von Hochverfügbarkeit bis Mobility abdeckt.

Dieser Artikel behandelt

Data-Center-Hosting

ÄHNLICHE THEMEN

Big Data, Collaboration, Social Media und Mobility eröffnen Unternehmen neue Perspektiven für mehr Geschwindigkeit und Effizienz im geschäftlichen Alltag. Die Basis bildet dabei die Cloud. Besonders wichtig bei diesen neuen Trends und Technologien ist jedoch, das Thema Sicherheit von Anfang an mitzudenken. Denn sind mobile Endgeräte erst mit dem Unternehmensnetzwerk verbunden, können sie beispielsweise als Einfallstor von Schadsoftware missbraucht werden. Damit die Rechnung mit der Cloud dennoch aufgeht, sind Experten und Technologien gefragt, die IT-Sicherheit und Hochverfügbarkeit gewährleisten.

Die Cloud erhält mehr und mehr Einzug in den Geschäftsalltag. Denn sie erzeugt Skalierbarkeit – und Skalierbarkeit ermöglicht Kosteneffizienz. Viele Unternehmen setzen dabei auf das Modell der Private Cloud. Hierbei steht die IT-Umgebung nur den eigenen Mitarbeitern und Partnern zur Verfügung. Sie ist über ein geschlossenes Netzwerk abgeschottet vom öffentlichen Internet zugänglich. Im letzten Jahr ist die Anwenderzahl um sieben Prozent gestiegen, ein Drittel der deutschen Unternehmen nutzt die Private Cloud bereits. Der Großteil berichtet von sehr guten Erfahrungen. Das zeigt der aktuelle „Cloud-Monitor 2013“ von KPMG und dem Branchenverband BITKOM. Trotzdem bleiben einige Unternehmen weiterhin skeptisch. Die Angst vor Datenverlusten gehört zu den größten Hürden beim Einsatz von Cloud-Lösungen. Umso wichtiger ist es, mithilfe eines umfassenden Sicherheitskonzepts Vertrauen in die Cloud zu schaffen. Moderne Technologien ebnen dabei den Weg für sichere und verfügbare Cloud-Dienste.

Unterbrechungsfrei dank redundanter Strukturen

Die Business Continuity ist heute ein beträchtlicher Faktor für die Wirtschaftlichkeit der eigenen Prozesse, der nicht unterschätzt werden sollte. Reduziert man das Risiko von Betriebsstörungen und Downtime-Kosten auf ein Minimum, können Unternehmen die Cloud effizient nutzen. Doch das Rechenzentrum ist nur so stark wie seine schwächste Komponente. Dazu gehören vor allem Elemente, die nur einmal im System vorkommen. Sind etwa mehrere Server mit nur einem Netzwerk-Switch verbunden, stellt dieser einen sogenannten Single Point of Failure dar. Tritt an diesem Switch ein Defekt auf oder wird er durch einen Stromausfall von der Versorgung abgetrennt, sind alle damit verbundenen Server unzugänglich. Demnach kann eine solche Störung die gesamte Netzwerkverbindung lahmlegen.

Das Kernelement einer Null-Fehler-Strategie ist deshalb die Redundanz des Systems, aller wichtigen Komponenten und der Netzteile. Mit Twin-Core-Technologie, wie sie beispielsweise T-Systems einsetzt, ist eine mögliche Hochverfügbarkeit von 99,999 Prozent in der Private Cloud realisierbar. Das entspricht einer Ausfallzeit von rund fünf Minuten im Jahr. Alle Daten und Infrastrukturen des Rechenzentrums werden in einem anderen Rechenzentrum gespiegelt. Der „Zwilling“ befindet sich an einem anderen Standort und springt im Notfall ein, beispielsweise bei einem Stromausfall. So sind die Daten- sowie Betriebssicherheit gewährleistet, die Versorgung des Kunden läuft unterbrechungsfrei weiter.

Sensible Daten schützen

Neben Hochverfügbarkeit ist auch der wirksame Schutz der Daten gegen interne wie externe Angriffe Bestandteil einer umfassenden IT-Sicherheits-Strategie. Hierzu zählt die Ende-zu-Ende-Verschlüsselung der Daten. Dabei liegen diese verschlüsselt innerhalb des Unternehmens sowie auf den Servern des jeweiligen Dienstleisters. Die Datenübertragung erfolgt über sichere Virtual Private Networks (VPN). Weiter müssen Zugangsrichtlinien definiert und Zutrittskontrollen etabliert sein sowie die Systeme und Data Center gegen physikalische Risiken wie Feuer abgesichert werden. Zudem sollte der Provider verschiedene Sicherheits-Software einsetzen, die vor einer Manipulation der Systeme schützen – zumal Malware laut der IDC-Studie „Vor dem Sturm: IT-Security in Deutschland 2013“ die häufigste Angriffsform in der IT ist.

Neue Arbeitsmodelle wie Mobility, Bring Your Own Device (BYOD) und Collaboration erfordern auch ein professionelles Identitäts- und Zugangsmanagement, damit der Zugriff auf sensible Daten nicht außer Kontrolle gerät. Denn neben Diebstahl und Verlust des Endgeräts stellen Übergriffe durch Phishing oder Social Engineering potenzielle Risiken dar. Detaillierte Zugriffskonzepte beugen Industriespionage und Datenmissbrauch vor. Die Balance zwischen Bedienbarkeit und Sicherheit entwickelt sich dabei jedoch schnell zum Drahtseilakt: Mitarbeiter müssen problemlos auf Anwendungen und Informationen zugreifen können. Notwendig sind deshalb Autorisierungs- und Authentisierungsprozesse, die einfach auszuführen sind und gleichzeitig einen größtmöglichen Schutz der Daten bieten, etwa durch Identifizieren per Smart Cards oder Einmalpasswort. Im Rahmen eines Mobility-Sicherheitskonzepts machen unter anderem Systeme für Network Access Control (NAC) nicht autorisierte Endgeräte sichtbar und schließen sie vom Zugriff aus.

TÜV für die Cloud

Einen kompetenten Dienstleister auf den ersten Blick zu erkennen ist keine leichte Aufgabe. Der Anbieter sollte in den Service Level Agreements (SLA) bereits umfassende Sicherheitsmaßnahmen aufführen. Unternehmen müssen in diesem Rahmen klare Absprachen einfordern und auch einen Qualitätsmaßstab für die Datensicherung vereinbaren. Doch schon bevor ein Einblick in die vertraglich festgelegten Leistungen möglich ist, lässt sich die Spreu vom Weizen trennen. Dafür sorgen anerkannte Standards und Zertifizierungen, die Orientierung bei der Auswahl des Partners geben. So spezifiziert die internationale Norm ISO 27001 Anforderungen an die Informationssicherheit, die zertifizierte Dienstleister erfüllen müssen. Hier sind diese verpflichtet, ihre Risiken zu erkennen und mit geeigneten Maßnahmen wie Notfallplänen zu beherrschen.

Von Anfang bis Ende durchdacht

Mit dem richtigen Partner speichern Unternehmen ihre Daten in der Cloud mitunter sicherer als dies firmenintern überhaupt möglich wäre. Der Dienstleister muss jedoch professionelle Technologien sowie das nötige Know-how mitbringen und dabei alle Anwendungen, Schnittstellen, Systeme und Akteure im Blick haben. Dazu gehören auch Lösungen wie mobile Endgeräte, die neue Anforderungen an die IT-Sicherheit stellen. Erst mit einem ganzheitlichen Sicherheitskonzept, das die komplette Risikolandschaft abdeckt, gelingt der Einsatz von Cloud-Services reibungslos.

Über den Autor: Dr. Ferri Abolhassan ist Geschäftsführer der T-Systems International GmbH und verantwortlich für den Bereich Delivery. Der promovierte Informatiker ist Autor und Herausgeber zahlreicher Bücher und Publikationen.

Artikel wurde zuletzt im September 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Data Center: Gehostete Services

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close