Die Nutzung von Clouddienste ist mittlerweile ein Thema, mit dem sich fast jedes Unternehmen in seiner IT-Strategie beschäftigen muss. Richtig eingesetzt bieten diese Dienste ein großes Potenzial für die Digitalisierung im Unternehmen. Doch häufig sorgen Fehler in der Herangehensweise für Probleme bei der Umsetzung. Was sollte vor Cloud-Einsatz also unbedingt berücksichtigt werden?
Das Thema Cloud berührt in der Regel alle Bereiche eines Unternehmens. Daher sollte die Cloud-Strategie nicht nur von der Geschäftsführung mit der IT-Abteilung entwickelt werden. Die Fachabteilungen und gegebenenfalls Stabsstellen auf dem Bereich Compliance sollten von Beginn an involviert werden. Hierbei ist auch zu prüfen, ob das fachliche Know-how für ein eigenes Management der Cloud im Unternehmen vorhanden ist oder ob Schulungen für Administratoren und Entwickler einzuplanen sind sowie die Frage ab welchem Punkt das Unternehmen wieder selbst vollends zuständig sein möchte (IaaS, PaaS, SaaS). Von Beginn an sollte zudem das Ausstiegsszenario aus einer Cloud-Lösung berücksichtigt werden. Mechanismen zur Rückgabe von Daten und ggf. Anwendungen sind vertraglich festzulegen. Dabei sollte auch die Portabilität der Dienste und Daten im Blick behalten werden. Die Datenformate sind zu überprüfen, um eine spätere Weiterverarbeitung der Daten sicherzustellen.
Aus Gesichtspunkten des Datenschutzes ist zu prüfen, wo und wie die zu verarbeitenden Daten in der Cloud gespeichert werden. Es ist zu prüfen, ob ein Auftragsverarbeitungsvertrag mit dem Anbieter abgeschlossen werden muss. Zudem sollte bei der Wahl des passenden Cloud-Anbieters beachtet werden, ob dieser nach relevanten Sicherheitsstandards zertifiziert ist.
Vor der Umsetzung eines sollten Projektes sollte ein Sicherheitskonzept erarbeitet werden, welches sich nach Art und Schutzbedarf der Daten orientiert. Dieses umfasst unter anderem folgende Punkte.
- Authentifizierung: Der Zugriff auf die in der Cloud gespeicherten Daten muss durch sichere Zugangsdaten geschützt werden. Idealerweise erfolgt dies mit einer Mehr-Faktor-Authentifizierung.
- Berechtigungskonzept: Benutzer sollten nur die Berechtigungen erhalten, welche sie wirklich zur Erledigung ihrer Aufgaben benötigen (Prinzip der minimalen Berechtigung). Die Vergabe von Berechtigungen sollte angemessen gesteuert sein und regelmäßig kontrolliert werden.
- Monitoring: Die Cloud-Ressourcen müssen lückenlos überwacht werden, um Angriffe identifizieren zu können. Zudem sollten die Kapazitäten überwacht werden, um eine bedarfsgerechte Nachjustierung und die Kontrolle über die Kosten sicherzustellen.
- Sicherheitsregeln: Um das angestrebte Sicherheitsniveau durchzusetzen, sollten globale Sicherheitsrichtlinien definiert werden, welche für die Nutzung technisch erzwungen werden.
- Verschlüsselung: Welche Daten sind wo bzw. wann und wie zu verschlüsseln? Hierbei ist auch zu prüfen, ob die Verwaltung der Schlüssel durch den Cloud-Anbieter erfolgen kann oder ob sie durch die eigene IT-Abteilung durchzuführen ist.
- Schnittstellen: Die durch den Cloud-Einsatz entstehenden Schnittstellen zur IT-Infrastruktur und zu Anwendungen des Unternehmens sind zu dokumentieren und angemessen abzusichern.
Vor der eigentlichen Umsetzung des Projekts, sollte in einer Testphase überprüft werden, ob die Lösung den gewünschten Anforderungen entspricht und der Betrieb reibungslos funktioniert. In der Testphase können weitere Nachbesserungs- oder Entwicklungsbedarfe identifiziert werden, sodass die notwendigen Umsetzungsaufwendungen frühzeitig eingeplant werden können.
Ist die Testphase erfolgreich verlaufen, sind vor der Produktivsetzung der Lösung dokumentierte Schulungen für die Mitarbeiter zum Umgang mit der Cloud-Lösung durchzuführen. Hierbei sollte auch eine Sensibilisierung zu spezifischen Sicherheitsrisiken, wie z. B. Phishing-E-Mails erfolgen.
Auch wenn Cloud-Anbieter häufig eine hohe Verfügbarkeit garantieren, muss damit gerechnet werden, dass die Dienste zeitweise nicht verfügbar sind. Eine Verfügbarkeit von 99% bedeutet eine maximale Ausfallzeit von 87,6 Std. im Jahr. Ein Notfallkonzept für den Cloud-Dienst, in dem Zuständigkeiten, Ansprechpartner und Eskalationsverfahren klar geregelt werden sowie Redundanzen für Single Points of Failure (Internetleitung) sollten bei Bedarf zur Verfügung stehen. Eine Datensicherung ist auch für Cloud-Dienste unerlässlich. Diese wird häufig durch den Cloud-Anbieter als zusätzlich buchbarer Dienst angeboten. Die Rücksicherung in der Cloud oder gar in die Cloud sollte regelmäßig getestet werden.
Fazit
Richtig geplant und umgesetzt, bietet der Einsatz von Cloud-Lösungen im Unternehmen große Potentiale bei der Senkung der Infrastrukturkosten, der Fortschreibung der Digitalisierung und dem Aufbau neuer Dienstleistungsangebote und Geschäftsmodelle. Sprich uns gerne bezüglich Deines individuellen Anwendungsfalles an!
