Cloud ja – aber mit einem risikobasierten Ansatz

Ein Überblick über die häufigsten Fragen.

Nicht nur die IT-Abteilung, sondern auch das Business muss sich an der Entscheidung für die Cloud beteiligen. Dazu gehört auch die Wahl des Servicemodells, wie Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), und des Betriebsmodells, ob privat, öffentlich, hybrid oder Community. Je nach Risikoappetit der Organisation sind gewisse Modelle nicht akzeptabel. Die Vorteile und Opportunitäten müssen gegenüber Kosten und Risiken sorgfältig abgewogen werden.

‍Darf ich meine Businessdaten in der Cloud speichern?

Dies ist von mehreren Parametern abhängig, die mit einer strikten Analyse der Risiken, Einschränkungen und Kosten für das gewählte Betriebs- und Servicemodell zu berücksichtigen sind. Sie müssen erwägen, ob es sich um regulierte oder sensible Daten handelt, die rechtlichen Anforderungen an den Standorten der Organisation sowie die Durchführbarkeit und Kosten der erforderlichen Sicherheitsmassnahmen beachten. Mit dem Cloud-Provider müssen Sie klären, wo(hin) die Daten übertragen, gespeichert, archiviert und verarbeitet werden, sowie welche Sicherheitsmassnahmen implementiert sind. Selbst wenn der Cloud-Anbieter für die Implementierung bestimmter Sicherheitsmassnahmen, je nach Servicemodell, verantwortlich ist, haften Sie rechtlich gesehen im Falle eines Datenverlusts. Dies gilt auch, wenn der Cloud-Anbieter den Datenabfluss verursacht hat. Ausserdem ist es wichtig, dass Sie sich über die Gesetzgebung der Länder informieren, durch die Ihre Daten reisen oder in denen sie gespeichert und archiviert werden. Der Grund dafür ist, dass sich einige Länder das Recht auf Zugang zum gesamten Datenverkehr auf ihrem Territorium einräumen. Zudem beschränken gewisse Länder den Import und Export von kryptografischem Material.

‍Kann ich eine Sicherheitskopie meiner Daten von meinem SaaS-Provider verlangen?

Vor Abschluss des Vertrags mit einem SaaS-Provider ist zu klären, wem die Daten der genutzten Anwendung gehören. Gehören die Daten Ihnen, so besitzen Sie automatisch auch das Recht, Ihre Daten im Rahmen einer Data-LossPrevention bei Ihnen lokal zu sichern. Daher muss der Provider Ihnen Zugriff gewähren, damit Sie regelmässige Back-ups Ihrer Daten ziehen können. Weiter muss sichergestellt werden, dass der Provider keine proprietären Formate verwendet. Falls nicht anders möglich, muss die Möglichkeit bestehen, die Daten im Rohformat oder in einem kompatiblen Format zu erhalten.

‍Wie wird die Business Continuity in der Cloud gehandhabt?

Die Risikoanalyse, die im Rahmen des Business Continuity Managements durchgeführt wird, sollte an den verwendeten Cloud Services angepasst werden. Dazu gehören auch die Überprüfung von den festgelegten Recovery Time Objective (RTO) und Recovery Point Objective (RPO) und die Überarbeitung der Back-up-Strategie. Daten und/oder Systeme können in drei Modellen gesichert werden: Bei Modell eins wird die Cloud als Disaster-Recovery-Site genutzt, bei Modell zwei wird die Cloud zur Sicherung von Back-ups verwendet, und bei Modell drei dient ein zweiter Cloud-Provider als Back-up-System für den ersten. Ein gemeinsamer Prozess mit dem Cloud-Anbieter sollte definiert werden. Ein solcher Prozess sollte unter anderem festlegen, wer für welche Back-up zuständig ist, wer den Disaster-Recovery-Prozess auslösen darf, wie schnell diese Aktivitäten eingeleitet werden und wer über die Rückkehr zum Normalbetrieb entscheidet. Zudem müsste mit dem Cloud-Anbieter vertraglich vereinbart werden, dass er regelmässige FailoverTests durchführt. Und im Vertrag müssen sich die ausgehandelten Verantwortlichkeiten jeder Partei widerspiegeln.

‍Netzwoche, Mai 2020