Sensible Unternehmensdaten in die Cloud? Aber sicher!

Firmen, die ihre sensiblen Daten in der Cloud speichern wollen, benötigen ein ausgeklügeltes Sicherheitskonzept. Dabei sollten einige Schritte beachtet werden.

Dateien und Software in der Cloud zu hosten macht das Arbeiten flexibel, nicht nur im Sinne des Modern Workplaces. Gemeinsames editieren am Dokument erleichtert auch die Zusammenarbeit im Team. Auch wenn Cloud-Lösungen hohe Investitionskosten ersparen, schrecken viele Unternehmer, vor allem Mittelständler, zurück, wenn es um das Thema Cloud geht. Sie sehen die Sicherheit ihrer sensiblen Daten in Gefahr. Die Sorgen sind verständlich, sind die Daten doch das wichtigste Gut eines Unternehmens. Erhalten Unbefugte Zugang dazu oder gehen die Daten verloren, stehen Existenzen auf dem Spiel. Die Sorgen sind aber unbegründet.

Im Jahr 2019 ist die Datenhaltung in der Cloud eines externen Dienstleisters ebenso sicher, wie im eigenen Serverraum – zumindest, wenn man einige Tipps beherzigt.

IT-Sicherheit – nicht nur in der Cloud

Das Thema Security sollte von Anfang an über allem stehen. Dieser Schritt wird leider allzu oft übersprungen in der Planung einer Cloud-Lösung. IT-Security ist keine Funktion, die sich einfach später anschalten lässt, IT-Security ist ein komplexes Thema, mit dem man sich grundlegend auseinandersetzen muss.

Eine sorgfältige Planung und Konfiguration ist die Basis, wenn man sich für den teilweisen und vollständigen Umzug in die Cloud entscheidet. Die Überlegung, ob die Daten redundant verfügbar sein müssen, muss dabei von Anfang an überdacht werden, wie zum Beispiel bei Krankenhäusern. Dann ist die Verteilung auf mindestens zwei Rechenzentren an unterschiedlichen Standorten notwendig, um auch bei großen Naturkatastrophen den Betrieb aufrecht erhalten zu können.

Rechenzentrum in der Region bietet Vorteile

Welcher Cloud-Anbieter ist der richtige für mein Unternehmen? Diese Frage stellen sich alle Verantwortlichen. Die großen Anbieter wie Microsoft, Amazon und Google haben alle umfangreiche Angebote. Für ein mittelständisches Unternehmen ist das aber nicht immer unbedingt nötig. Spätestens seit der Einführung strengerer Datenschutzrichtlinien sollten sich europäische Firmen zudem Gedanken darüber machen, ob man sensible Kundendaten auf Servern in den USA speichern möchte – und darf.

Die amerikanischen Dienstleister unterliegen dem Cloud-Act. Das heißt, sie haben die Pflicht, Daten auch von Kunden außerhalb der USA herauszugeben, wenn die Behörden dies verlangen.

Ein Dienstleister in der Region unterliegt dagegen der DSGVO. Er darf Kundendaten keinesfalls herausgeben. Ob sich Anbieter außerhalb der EU daran halten, (was sie eigentlich müssten) weiß niemand so genau.

Bei der Suche nach einem Cloud-Anbieter sollte man also auch die Augen auf die Region richten.

SkySystems arbeitet seit mehreren Jahren erfolgreich mit der TMR – Telekomunikation Mittleres Ruhrgebiet zusammen. Die TMR betreibt zwei von einander unabhängige Rechenzentren in Bochum und Herne.

Durch die besondere Gesellschafterstruktur garantiert die TMR die nötige Investitionssicherheit, denn die Beteiligungsgesellschaften sind die Energieversorgungsunternehmen aus Bochum, Herne, Witten, Hattingen, Gevelsberg und die Sparkassen aus Bochum und Herne.

ISO-Zertifizierung als Auswahlkriterium

Bei der Auswahl von Anbietern unter den Sicherheitsaspekten sollte der Blick den Zertifizierungen gelten – besonders der ISO 27001 Zertifizierung. Dazu gehört die Gewährleistung der Betriebssicherheit – denn auch kurzzeitige Ausfälle können heute schon zu hohen Kosten führen – ebenso wie eine restriktive Zugangskontrolle und der Schutz gegen Naturgewalten.

Nach der Auswahl eines Anbieters ist der nächste Schritt ein Sicherheitskonzept, und zwar für jede verwendete Technologie und für jeden Service.

Strukturiertes Vorgehen bei Security-Anforderungen

Eine Schichtenarchitektur analog zum OSI-Schichtenmodell hilft für ein strukturiertes Vorgehen bei der Definition von Security-Anforderungen. Jede Schicht beinhaltet dabei eigene Security-Controls, die je nach Anbieter unterschiedlich angewandt werden können.

Ein Beispiel:

• Ebene „Betriebssystem und Anwendungen“: Berechtigungsmanagement, Penetrationstests, Logging und Monitoring, Konfigurations-Management
• Ebene „Daten“: Verschlüsselung, Data Loss Prevention
• Ebene „Netzwerk“: Firewall, DDoS-Schutz
• Ebene „Hypervisor“: Physikalische Sicherheit, Berechtigungsmanagement

Wir haben hier nur eine kleine Auswahl an Security-Maßnahmen genannt. Eine umfangreiche und unverbindliche Beratung geben Ihnen gerne unsere Cloud-Experten in einem persönlichen Gespräch. Nehmen Sie einfach Kontakt auf.