Categories: CloudManagement

Cloud-Sicherheit beim TÜV

Mit einem Lastenheft, einer Qualitätssicherung und einem Trusted Cloud Service unterstützt TÜV TRUST IT Anwenderunternehmen bei der systematischen Evaluierung von Cloud-Anbietern hinsichtlich Sicherheit. (Bild: TÜV TRUST IT)

Systematische Evaluierngsverfahren bei der Auswahl des Cloud-Providers sind bei vielen Unternehmen nicht vorhanden oder haben starke Defizite, so TÜV TRUST IT aus der Praxis. Obwohl das Thema Sicherheit bei der Cloud ein häufig diskutiertes Thema ist, scheint vielen Unternehmen die tatsächliche Komplexität des Themas noch nicht bewusst zu sein. Demnach seien hier systematische Evaluierungsverfahren bei der Providerauswahl notwendig, um Risiken minimieren zu können. Als Pflichtanforderung nennen die Experten beispielsweise ein IS-Risikomanagementsystem beim Cloud-Provider. Daran sollten auch entsprechende Maßnahmen geknüpft sein. Ebenfalls essentiell sei eine kontinuierliche Bewertung der Risikosituation.

Daneben sei eine Klassifizierung und Kennzeichnung der Informationen und Dokumente hinsichtlich des Schutzniveaus ebenso Voraussetzung wie angemessene Geheimhaltungsvereinbarungen für Mitarbeiter und Dritte. Ein Vertrag sollte zudem den Schutz aller Vermögenswerte der Organisation garantieren, was insbesondere für den Datenaustausch und die Sicherheitsmechanismen gelte.

Differenzierte Richtlinien und Verfahrensweisen für die Gerätewartung sollten zudem die Kontinuität und Verfügbarkeit des Betriebs beim Anbieter sicherstellen. Darin enthalten sollte auch eine Backup-Strategie sein. Diese sollte Punkte wie Backup-Frequenzen, Auswahl der Backup-Medien oder auch die Lokation der Backup-Systeme beeinhalten. Das Business Continuity Management sollte regelmäßig und engmaschig dokumentiert sein und darüber hinaus regelmäßig getestet und validiert werden.

Prozesse, IT-Systeme und Infrastruktur des Cloud-Providers müssen transparent und differenziert dokumentiert sein. Darüber hinaus sollte ein Incident Management-Prozess einschließlich der Rollen und Verantwortlichkeiten sowie der Schnittstellen zum Problem Management etabliert sein. Dazu gehören auch Verfahren zur Beweissicherung. Für das Netzwerkmanagement wiederum müssen dokumentierte Richtlinien und Verfahrensanweisungen mit Zugriffskontrolle, Zugängen, Segmentierung, Routing, Logging und anderen Punkten vorhanden sein.

“Dies sind jedoch nur Beispiele eines umfassenden Analyse-Spektrums”, kommentiert Stefan Möller, Leiter Vertrieb der TÜV TRUST IT. Dazu gehören auch weitere Aspekte wie die Reglementierung des Zugriffs auf Source-Codes, Vorgaben für die Verschlüsselung zum Schutz sensibler Daten oder die Festlegung der Kundenkommunikationsprozesse, in der sämtliche Datenschutzbelange geregelt sind. Um die Auswahl ein Stück weit zu erleichtern hat der Sicherheitsspezialist den Cloudability-Check entwickelt, der zahlreiche Sicherheits- und Compliance-Punkte auf Anbieterseite abdeckt.

Der Cloudability-Chek ist ein Lastenheft, in dem nichtfunktionale Anforderungen aufgeführt sind. Das soll die systematische Evaluation im Markt erleichtern und auch eine Grundlage für Ausschreibungen liefern. Ergänzent dazu bietet TÜV TRUST IT ein ergänzendes Analyseverfahren.
TÜV TRUST IT GmbH bietet einen IT-TÜV. Die Tochter des TÜV Austria hat Standorte in Köln und Wien und bietet eine herstellerunabhängige Bewertung, vor allem von IT-Risiken in den Bereichen Management der Informationssicherheit, Mobile Security, Cloud Security, Sicherheit von Systemen, Applikationen und Rechenzentren, IT-Risikomanagement und IT-Compliance.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago