Cloud Migration – Risikobewertung im Mittelpunkt

Matthias Kraus,

Die Cloud wartet mit zahlreichen Vorteilen auf, und diese Vertriebsform nimmt dem Anwender zahlreiche Aufgaben ab. Matthias Kraus, Research Analyst bei IDC, warnt aber davor, dass es auch Bereiche gibt, die der Anbieter nicht übernehmen kann. Vor allem im Vorfeld einer Cloud Migration seien diese zu finden.

Eine aktuelle IDC-Befragung zum Thema Cloud Computing in Deutschland bestätigt: Cloud Services setzen sich immer weiter durch. Nach Angaben der befragten IT-Entscheider nutzt oder implementiert fast die Hälfte (45 Prozent) der deutschen Unternehmen inzwischen Cloud Services, weitere 36 Prozent befinden sich in der Planungsphase oder beschäftigen sich mit der Thematik – und das sind vor allem mittelständische Betriebe mit weniger als 1.000 Mitarbeitern.

Die bekannten Vorteile von Cloud Services – Reduzierung des IT-Betriebsaufwands, Skalierbarkeit, schnellere Einführung neuer Lösungen, einfache Nutzung durch die User, etc. – sind die wesentlichen Treiber für die Verbreitung der “as-a-Service” Angebote.

Anwenderunternehmen müssen bei der Migration in die Cloud allerdings zahlreiche Aspekte berücksichtigen. Die Bedenken hinsichtlich der Sicherheit und der Einhaltung der strengen deutschen Gesetze sind hierzulande besonders ausgeprägt. Die NSA-Affäre hat die Sicherheitsdiskussion zusätzlich befeuert und zu einer weiteren Verunsicherung geführt.

Ein angemessener Level an Due Diligence ist also zwingend erforderlich, wenn Organisationen über die Nutzung von Cloud Services nachdenken. Diese sorgfältige Risikoprüfung ist deshalb wichtig, da die Verpflichtung der Einhaltung der Datenschutzgesetze und sonstiger Compliance-Vorgaben nicht auf einen Cloud-Provider “abgewälzt” werden kann. Die Verantwortung bleibt in den Händen des Anwenderunternehmens. Dies gilt insbesondere für personenbezogene Daten der eigenen Mitarbeiter, von Kunden oder Lieferanten.

Vor dem Hintergrund einer angemessenen Due Diligence lässt sich die Migration in die Cloud in drei wesentliche Phasen einteilen:

  1. Ziel: Was sind die genauen Gründe, Cloud Services zu nutzen?
  2. Auswahl: Welcher Cloud Provider ist der richtige für das jeweilige Unternehmen?
  3. Kontrolle: Welche regulären Kontrollen sind durchzuführen, um sicherzustellen, dass Cloud Provider alle erforderlichen Verpflichtungen einhält?

Ziel: Was sind Ihre wesentlichen Gründe für die Nutzung von Cloud Services, was wollen Sie damit tatsächlich erreichen?

IDC-Befragungen in Deutschland zeigen, dass sich die Zielsetzungen für die Nutzung von Cloud Services verändern. Eine einseitige IT-Kostenbetrachtung greift inzwischen viel zu kurz. Die wesentlich agilere Reaktion der IT auf neue Anforderungen des Managements und die bessere Unterstützung der Geschäftsprozesse rücken zunehmend in den Mittelpunkt. Damit soll der Beitrag der IT zum Kerngeschäft deutlich gesteigert werden. Diese Anforderungen sind aus Sicht der Geschäftsleitungen inzwischen “Pflicht” und nicht mehr nur die “Kür” für die IT. Als IT-Leiter müssen Sie deshalb in enger Abstimmung mit den Geschäftsbereichen entscheiden, welche Bereiche und Workloads mit welchem Cloud-Modell betrieben werden sollen. Die Erfüllung der Business-Anforderungen darf dabei aber nicht zu Lasten der Sicherheit und der Einhaltung der relevanten Datenschutzgesetze und branchenspezifischen Compliance-Vorgaben gehen.

Auswahl: Das Assessment potenzieller Cloud Provider ist der nächste logische Schritt.

Bei der Festlegung der Auswahlkriterien ist vor allem darauf zu achten, dass diese mit den unternehmensinternen Sicherheitsvorgaben übereinstimmen. Falls Sie solche unternehmenseigenen Richtlinien aber noch nicht oder nur sehr vage formuliert haben, sollten Sie sich zunächst die Zeit nehmen, diese klar zu definieren. Nur so können Sie sicherstellen, den für Ihr Unternehmen richtigen Cloud Provider auszusuchen.

Um mögliche Risiken der Migration in die Cloud zu minimieren sollten sich Anwenderunternehmen bei der Auswahl des richtigen Cloud Providers folgende Fragen stellen:

  • Welche Compliance-Vorgaben und Sicherheitsmaßnahmen setzt der Cloud-Provider um? Werden diese Vorkehrungen anhand von Zertifikaten, z.B. ISO 2700x, nachgewiesen und wie oft werden diese erneuert?
  • Welche Sicherheitsmaßnahmen werden konkret umgesetzt, z.B. Data Leak Prevention Tools, Identity und Access Management, etc.?
  • Werden Daten bei der Übertragung verschlüsselt und falls ja, mit welchem Verfahren?
  • Können Workloads und Daten Ihres Unternehmens optional getrennt von den Daten andere Organisationen gespeichert werden und sind weitere optionale Sicherheitsmaßnahmen, z.B. Datenübertragung per VPN, möglich?
  • Wie überwacht und protokolliert der Cloud Provider die Sicherheitsmaßnahmen seiner Cloud-Umgebung? Welche Incident Management-Prozesse hat er dabei implementiert?

Kontrolle: Die Kontrolle der Sicherheitsmaßnahmen des Cloud Providers ist eine zyklisch wiederkehrende Phase.

Dies erfolgt in der Praxis unter anderem durch den Nachweis, dass der Cloud Provider Standards wie ISO2700x erneuert und das jeweils aktuelle Zertifikat vorlegt. Außerdem ist sicherzustellen, dass die versprochenen Sicherheitsanforderungen kontinuierlich erfüllt werden. Eine Kontrolle der Sicherheitsmaßnahmen des Cloud Providers sollte zumindest einmal jährlich erfolgen.

Fazit

Die Verantwortung für die Sicherheit der Daten und Workloads können Sie mit der Nutzung von Cloud Services nicht ablegen. Bei der Risikoanalyse sollten Sie aber berücksichtigen, dass Cloud Provider oftmals über mehr Know-how verfügen, umfassendere Sicherheitsmaßnahmen umsetzen und kurzfristiger auf neuen Bedrohungsszenarien reagieren können, als Ihnen dies – vor allem als mittelständischer Betrieb – selbst möglich ist. Diese Fähigkeiten sollten Ihnen die Cloud-Anbieter anhand von aktuellen Zertifikaten nachweisen.

Selbstverständlich sind bei der Entscheidung, ob und für welche Bereiche Sie Cloud Services nutzen, weitere Aspekte zu berücksichtigen. Dazu zählen etwa die ausreichende Performance der eigenen IT-Umgebung, die erforderliche Anpassung der Geschäftsprozesse an die neuen technischen Möglichkeiten von Cloud Services oder die mögliche Verknüpfung der eigenen IT-Umgebung mit externen Cloud Services zu Hybrid Clouds. Die Themen Sicherheit und Compliance sind aber die entscheidenden Hemmfaktoren und können “Show-Stopper” darstellen. Due Dilligence muss deshalb im Mittelpunkt Ihrer Überlegungen stehen, wenn Sie die Migration in die Cloud planen.