So wechseln Sie sicher in die Cloud
in fünf Schritten
Altenholz (ots) - Im Zuge der Corona-Pandemie zogen viele Menschen aus dem Büro
ins Homeoffice - und parallel wanderten viele digitale Dienste vom firmeneigenen
Server in die Cloud. Doch wer Cloud-Services nutzt, muss deren spezifische
Sicherheitsanforderungen erfüllen. Und die werden bei der Entscheidung über
einen Wechsel "in die Cloud" häufig nicht mit einkalkuliert.
"In vielen Behörden und Unternehmen fehlt das Bewusstsein für die nötigen
Sicherheitsmaßnahmen beim Arbeiten in der Cloud", sagt Dr. Martin Meints,
Sicherheitsbeauftragter von Dataport. "Zudem setzen Cloud-Services eine enorme
Bereitschaft voraus, sich auf extern gesetzte Standards einzulassen. Deshalb
sind sie für einige Zwecke schlicht ungeeignet." Dataport ist ein Dienstleister,
der Cloud-Lösungen für die öffentliche Verwaltung anbietet. Martin Meints, bei
Dataport zuständig für die Sicherheit der IT-Systeme, erklärt die fünf
wichtigsten Schritte, mit denen Behörden und Unternehmen sicher in die Cloud
wechseln.
ins Homeoffice - und parallel wanderten viele digitale Dienste vom firmeneigenen
Server in die Cloud. Doch wer Cloud-Services nutzt, muss deren spezifische
Sicherheitsanforderungen erfüllen. Und die werden bei der Entscheidung über
einen Wechsel "in die Cloud" häufig nicht mit einkalkuliert.
"In vielen Behörden und Unternehmen fehlt das Bewusstsein für die nötigen
Sicherheitsmaßnahmen beim Arbeiten in der Cloud", sagt Dr. Martin Meints,
Sicherheitsbeauftragter von Dataport. "Zudem setzen Cloud-Services eine enorme
Bereitschaft voraus, sich auf extern gesetzte Standards einzulassen. Deshalb
sind sie für einige Zwecke schlicht ungeeignet." Dataport ist ein Dienstleister,
der Cloud-Lösungen für die öffentliche Verwaltung anbietet. Martin Meints, bei
Dataport zuständig für die Sicherheit der IT-Systeme, erklärt die fünf
wichtigsten Schritte, mit denen Behörden und Unternehmen sicher in die Cloud
wechseln.
1. Prüfen Sie, ob der Umzug in die Cloud für Ihren Zweck überhaupt erlaubt ist.
In Unternehmen und insbesondere in der öffentlichen Verwaltung herrschen häufig
spezifische Sicherheitsanforderungen, die die Cloud-Anbieter nicht erfüllen
können oder wollen. Das kann der Fall sein, wenn die Verarbeitung von besonders
schützenswerten personenbezogenen Daten im außereuropäischen Ausland erfolgen
soll. Oder wenn sogenannte Geheimschutzanforderungen eine Sicherheitsüberprüfung
für sämtliche mit den Services befassten Fachkräfte nötig machen. Der Einsatz
von Cloud-Services ist in diesen Fällen gar nicht erlaubt. Wer in die Cloud
wechseln möchte, sollte die erforderlichen Sicherheitsniveaus deshalb vorab
kritisch prüfen.
2. Denken Sie daran: Sie sind weiterhin selbst zuständig für IT-Betrieb und
IT-Sicherheit.
Was viele Behörden und Unternehmen nicht bedenken: Nutzen sie eine Infrastruktur
aus der Cloud, bleiben sie für viele Aufgaben des IT-Betriebs weiter zuständig.
Denn grundlegende Sicherheitsmaßnahmen sind im Service der Cloud-Provider oft
nicht enthalten. Dazu gehören Datensicherung und Patchmanagement, Virenschutz,
das Härten von Betriebssystemen und Anwendungen sowie Protokollierung und
Protokollauswertung.
3. Binden Sie die Cloud-Services in ihre automatisierten Sicherheitsprozesse
ein.
Ein sicherer IT-Betrieb basiert auf zentraler Steuerung und Automation: Systeme
werden von einer zentralen Instanz überwacht und beispielsweise mit Updates oder
Software-Patches versorgt. Tritt ein Sicherheitsvorfall ein, werden automatisch
die notwendigen Folgeprozesse eingeleitet, etwa die zuständigen Fachkräfte
informiert. Damit das zuverlässig funktioniert, müssen die Komponenten in der
Cloud an die eigenen Management-Systeme angebunden und die dazugehörigen
Prozesse aufeinander abgestimmt werden.
4. Entwickeln Sie Strategien für Ausfall der Cloud-Services.
Wer Cloud-Services nutzt, greift über das Internet auf einen Dienst oder ein
Verfahren zu. Ist die Internetverbindung gestört, ist auch das Verfahren nicht
erreichbar. Ursachen dafür können Probleme am eigenen Internetzugang oder dem
des Providers sein, Denial-of-Service-Angriffe oder ein Ausfall von
Backbone-Leitungen oder zentralen Knoten im Internet. Kritische Verfahren wie
zum Beispiel die Polizei sie einsetzt, eignen sich deshalb nicht für den Betrieb
in der Cloud. Behörden und Unternehmen, die nicht auf eine hohe Verfügbarkeit
angewiesen sind, sollten Strategien dafür entwickeln, wie sie mit möglichen
Ausfällen umgehen.
5. Werden Sie zum Cloud-Experten.
Wer Plattform- oder Softwareservices aus der Cloud nutzt, erhält ein
vorgefertigtes, aber kein fertiges Produkt. Behörden und Unternehmen sind selbst
dafür verantwortlich, ihre Cloud-Services durch Konfiguration an die eigenen
Anforderungen anzupassen und für eine sichere Nutzung zu sorgen. Sie müssen
zudem ein komplexes Zusammenspiel von verschiedenen Komponenten dirigieren - und
dafür sorgen, dass diese auch miteinander funktionieren. Sollen Cloud-Services
beispielsweise nach einmaligem Einloggen am Arbeitsrechner zur Verfügung stehen,
müssen sie in die unternehmenseigenen Authentisierungsprozesse eingebunden
werden. Um sicher in der Cloud arbeiten zu können, müssen sich Behörden und
Unternehmen also ein spezifisches Know-how aneignen.
//www.dataport.de
Pressekontakt:
Britta Heinrich, Pressesprecherin
Dataport AöR
Billstraße 82
20539 Hamburg
E-Mail: mailto:Britta.Heinrich@dataport.de
Telefon: 040 42846-3047
Mobil: 0171 3342284
Weiteres Material: http://presseportal.de/pm/118338/4780949
OTS: Dataport
In Unternehmen und insbesondere in der öffentlichen Verwaltung herrschen häufig
spezifische Sicherheitsanforderungen, die die Cloud-Anbieter nicht erfüllen
können oder wollen. Das kann der Fall sein, wenn die Verarbeitung von besonders
schützenswerten personenbezogenen Daten im außereuropäischen Ausland erfolgen
soll. Oder wenn sogenannte Geheimschutzanforderungen eine Sicherheitsüberprüfung
für sämtliche mit den Services befassten Fachkräfte nötig machen. Der Einsatz
von Cloud-Services ist in diesen Fällen gar nicht erlaubt. Wer in die Cloud
wechseln möchte, sollte die erforderlichen Sicherheitsniveaus deshalb vorab
kritisch prüfen.
2. Denken Sie daran: Sie sind weiterhin selbst zuständig für IT-Betrieb und
IT-Sicherheit.
Was viele Behörden und Unternehmen nicht bedenken: Nutzen sie eine Infrastruktur
aus der Cloud, bleiben sie für viele Aufgaben des IT-Betriebs weiter zuständig.
Denn grundlegende Sicherheitsmaßnahmen sind im Service der Cloud-Provider oft
nicht enthalten. Dazu gehören Datensicherung und Patchmanagement, Virenschutz,
das Härten von Betriebssystemen und Anwendungen sowie Protokollierung und
Protokollauswertung.
3. Binden Sie die Cloud-Services in ihre automatisierten Sicherheitsprozesse
ein.
Ein sicherer IT-Betrieb basiert auf zentraler Steuerung und Automation: Systeme
werden von einer zentralen Instanz überwacht und beispielsweise mit Updates oder
Software-Patches versorgt. Tritt ein Sicherheitsvorfall ein, werden automatisch
die notwendigen Folgeprozesse eingeleitet, etwa die zuständigen Fachkräfte
informiert. Damit das zuverlässig funktioniert, müssen die Komponenten in der
Cloud an die eigenen Management-Systeme angebunden und die dazugehörigen
Prozesse aufeinander abgestimmt werden.
4. Entwickeln Sie Strategien für Ausfall der Cloud-Services.
Wer Cloud-Services nutzt, greift über das Internet auf einen Dienst oder ein
Verfahren zu. Ist die Internetverbindung gestört, ist auch das Verfahren nicht
erreichbar. Ursachen dafür können Probleme am eigenen Internetzugang oder dem
des Providers sein, Denial-of-Service-Angriffe oder ein Ausfall von
Backbone-Leitungen oder zentralen Knoten im Internet. Kritische Verfahren wie
zum Beispiel die Polizei sie einsetzt, eignen sich deshalb nicht für den Betrieb
in der Cloud. Behörden und Unternehmen, die nicht auf eine hohe Verfügbarkeit
angewiesen sind, sollten Strategien dafür entwickeln, wie sie mit möglichen
Ausfällen umgehen.
5. Werden Sie zum Cloud-Experten.
Wer Plattform- oder Softwareservices aus der Cloud nutzt, erhält ein
vorgefertigtes, aber kein fertiges Produkt. Behörden und Unternehmen sind selbst
dafür verantwortlich, ihre Cloud-Services durch Konfiguration an die eigenen
Anforderungen anzupassen und für eine sichere Nutzung zu sorgen. Sie müssen
zudem ein komplexes Zusammenspiel von verschiedenen Komponenten dirigieren - und
dafür sorgen, dass diese auch miteinander funktionieren. Sollen Cloud-Services
beispielsweise nach einmaligem Einloggen am Arbeitsrechner zur Verfügung stehen,
müssen sie in die unternehmenseigenen Authentisierungsprozesse eingebunden
werden. Um sicher in der Cloud arbeiten zu können, müssen sich Behörden und
Unternehmen also ein spezifisches Know-how aneignen.
//www.dataport.de
Pressekontakt:
Britta Heinrich, Pressesprecherin
Dataport AöR
Billstraße 82
20539 Hamburg
E-Mail: mailto:Britta.Heinrich@dataport.de
Telefon: 040 42846-3047
Mobil: 0171 3342284
Weiteres Material: http://presseportal.de/pm/118338/4780949
OTS: Dataport