Versicherungsbetriebe > Versicherungs IT

Die sichere Cloud ist kein Hexenwerk

Die digitale Transformation ist ohne Cloud nicht möglich – egal, wie groß ein Unternehmen ist. Die Migration von Teilen einer IT-Landschaft in die Cloud muss  detailliert geplant und die Daten sicher verwahrt werden. Nur dann profitieren ­Unternehmen von den ­Vorteilen einer Cloud-Lösung. 

Trotz aller Vorteile der Cloud sind noch immer Vorbehalte verbreitet - Quelle: Fotolia

Cloud-Technologien liefern die techno­logischen Bausteine für hocheffiziente Geschäftsprozesse, deshalb bezieht nahezu jedes Unternehmen Anwendungen, IT-­Infrastrukturleistungen und -Sicherheitslösungen heute aus der Cloud.

Während einige nur punktuelle Cloud-Services nutzen, gehen andere strategisch vor: sie betten ihre Cloud-Entscheidung in eine umfassende Cloud-Strategie ein. Zur Vorbereitung gehören eine genaue Bestandsaufnahme der IT-Landschaft und eine Festlegung der Ziele, die mit der Cloud erreicht werden sollen. Daraus ergeben sich Kriterien dafür, welche Applikationen, Daten und Dienste in die Cloud verlagert und welche im eigenen Rechenzentrum verbleiben sollen. Zusätzlich zu den technologischen sind organisatorische und rechtliche Vorgaben zu berücksichtigen: Das heißt vor allem: Welche Sicherheitsanforderungen müssen erfüllt sein?

 

Mit gezielter IT-Sicherheit zum Erfolg

Dazu ist es erforderlich, dass sich Unternehmen mit den Cloud-spezifischen Risiken und den zur Verfügung stehenden Sicherheitsmaßnahmen befassen. In manchen Firmen gehören die Risikoanalyse und das Risikomanagement zum Alltag, in vielen Branchen ist sie sogar gesetzlich vorgeschrieben. Eine Erfassung und Bewertung der Sicherheitsrisiken sowohl auf Seiten der Cloud-Anbieter als auf Seiten der Cloud-Nutzer ist unerlässlich. Beide müssen über den gesamten Verlauf eines Cloud-Computing-Vertrags die Informationssicherheit gewährleisten und wissen, welche Maßnahmen zur Risikobeherrschung bei einer Migration in die Cloud benötigt werden. Die Anforderungen an die Informationssicherheit ergeben sich aus dem Schutzbedarf der ausgelagerten IT-Infrastruktur, Applikationen und Daten. Zunächst einmal gilt: Die im eigenen Rechenzentrum betriebene IT-Landschaft ist nicht automatisch sicherer als die in einer Cloud. Bei der Suche nach der passenden Cloud-Sicherheitslösung spielen Datenschutz und IT-Sicherheit eine herausragende Rolle, damit die Daten in der Cloud mindestens so sicher sind wie on-premise. Selbst unternehmenskritische Daten wie Rezepturen, Produktionspläne oder andere Daten, die auf keinen Fall einem Wettbewerber in die Hände fallen dürfen, können heute in die Public Cloud verlagert werden. Die anfänglichen Bedenken bezüglich der Sicherheit sind in der Zwischenzeit auch bei Branchen wie Banken und Versicherungen – wo es hohe Auflagen zur Datenverarbeitung und -kontrolle gibt – ausgeräumt. Allerdings müssen dazu sowohl beim Auftraggeber als auch beim Cloud Provider entsprechende IT-Sicherheits- und -schutzmaßnahmen implementiert und fortlaufend überprüft werden. Dazu gehören zum Beispiel als Grundbestandteile ein effizientes Identity & Access Management and Control, Verschlüsselung der Daten und ein Log-Management. Schließt ein Unternehmen einen Vertrag mit einem Cloud-Provider, muss es wissen, wo sich die Daten befinden. Außerdem sollte es prüfen, ob die standardmäßig angebotenen Sicherheits-Services des Providers die eigenen Sicherheitsstandards erfüllen oder ob zusätzliche Maßnahmen entweder vom Cloud-Provider oder auch vom Auftraggeber selbst zu implementieren sind. Das gilt etwa auch für das Thema Sicherheitsrisiken.

 

Information Security Governance

Die Information Security Governance verfolgt in diesem Zusammenhang zwei Ziele: Sie soll erstens die Verlässlichkeit der IT sicherstellen und dazu die Vorgaben aus dem Continuity, Disaster Recovery und Information Security Management umsetzen. Zweitens soll sie die Beherrschbarkeit der IT in heterogenen Systemlandschaften, bei steigender Komplexität und einem hohen Kostendruck sicherstellen. Um die Sicherheitsrisiken in der Cloud effizient managen und kontrollieren zu können, sind ein leistungsstarkes Rahmenwerk mit Richtlinien, Policies und Prozessen erforderlich. Diese Anforderung gilt sowohl für Cloud-Provider als auch für Cloud-Nutzer. Nur mit einem solchen Rahmenwerk sind Unternehmen und Cloud-Provider gemeinsam in der Lage, die organisatorischen und technologischen IT-Sicherheitsmaßnahmen zur Beherrschung der Risiken zu definieren, umzusetzen und zu überwachen.

 

Datensicherheit und Datenschutz 

Vor einer Migration von ausgewählten Teilen ihrer IT-Landschaft müssen Unternehmen sich einen Einblick in die für sie geltenden branchenspezifischen, nationalen und internationalen Vorschriften zur Erfassung und Nutzung personenbezogener Daten verschaffen. Viele haben zusätzliche auch interne Compliance-Regeln definiert, die dann natürlich auch für den Cloud-Provider gelten müssen. In einem ersten Schritt sollten Unternehmen ermitteln, wo sich bislang die auszulagernden Daten befinden und welche davon eines besonderen Schutzes bedürfen. Der Cloud-Provider und ebenso das Unternehmen, das Daten auslagert, müssen alle gesetzlichen und regulativen Anforderungen erfüllen – inklusive die neue EU-DSGVO zum Schutz personenbezogener Daten. Zum Thema „Auftragsverarbeiter“, dem Cloud-Provider also, sagt der Gesetztext: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Zu den hin­reichenden Garantien zählen beispielsweise dokumentierte – und auch regel­mäßig zu aktualisierende – Regeln und Datenschutz-Zertifizierungsverfahren. Eine wichtige Rolle spielt hier etwa das Trusted Cloud Datenschutz-Profil (TCDP), das im Hinblick auf die DSGVO entwickelt wurde. Unternehmen, die sich für einen Cloud-Provider entscheiden, der über eine TCDP-Zertifizierung verfügt, sind auf der sicheren Seite.

 

Incident-Response-Plan

Nicht erst seit der DSGVO, bei der ein Incident-Response-Plan verpflichtend ist, sollte jedes Unternehmen über einen ­Incident-Response-Plan verfügen – das gilt natürlich auch für Cloud-Provider, mit denen Unternehmen zusammenarbeiten. In diesem Plan müssen rasche und effektive Reaktionen auf Sicherheitsvorfälle geregelt sein. Der Incident-Response-Plan ist Teil eines detaillierten Service Level Agreements (SLA). In diesem ­Response-Plan legen Auftraggeber und Cloud-Provider fest, wer bei einem Cloud-Sicherheitsvorfall für welche Aufgaben zuständig ist. Notwendig ist dazu eine schriftliche Dokumentation, was wann zu geschehen hat. 

Trotz aller Sicherheitsvorfälle, auf die sich alle Beteiligten entsprechend vorbereiten müssen, sind Cloud-Technologien wichtige Katalysatoren für die digitale Transformation. Fast täglich entstehen neue Cloud-Services, etwa aus den Bereichen künstliche Intelligenz, maschinelles Lernen oder Blockchain as a Service, die Unternehmen bei ihrem digitalen Wandel voranbringen. Während vor einiger Zeit die Sicherheitsvorbehalte und Risiken in den Cloud-­Debatten im Vordergrund standen, hat sich das Bild in der Zwischenzeit gewandelt. Heute sieht die Mehrheit der Unternehmen in der Cloud eher die damit verbundenen Chancen. Unterstützt durch einen erfahrenen IT-Security-Spezialisten gelten die ­Sicherheitsanforderungen in der Cloud als beherrschbar