Plant Ihr Unternehmen eine Cloud-Migration, gilt es einige Dinge zu beachten. Verpflichtungen, denen Sie bisher im Eigenbetrieb nachgekommen sind, müssen nun auf externe Partner verschoben werden. Entsprechend sollten Sie Vorsorge dafür tragen, dass Ihr Partner diesen Verpflichtungen auch nachkommt. Treffen Sie daher mit Ihrem Cloud-Anbieter klare Vereinbarungen zur Ihrer Erwartungshaltung an den Service und die Security. Insbesondere wenn es um die Informationssicherheit geht, sollten Sie einige Punkte in keinem Fall außen vor lassen. Gerade weil Sie Risiken, die mit der Informationssicherheit einhergehen, nicht einfach outsourcen können.
Sind Ihre Unternehmensdaten einmal veröffentlicht und geschieht damit eine Datenschutzverletzung, ist es Ihr Unternehmen, dass mit den Reputationsverlusten leben und für die Datenschutzverletzung haften muss. Ein anderer Fall kann auch sein, dass die Leistung des Cloud-Providers nicht ausreichend ist, um das Schutzziel einer ausreichenden Verfügbarkeit Ihrer IT-Systeme zu gewährleisten. Die richtige Auswahl in einem ersten und die vertragliche Ausgestaltung der Zusammenarbeit in einem zweiten Schritt sind daher essentiell, wenn es darum geht, ihre IT oder Teile davon in die Cloud zu verlagern. In diesem Artikel erhalten Sie fünf Tipps, welche Kriterien für die Auswahl des Providers essentiell und welche Vereinbarungen Sie im Vertrag in keinem Fall außen vor lassen sollten.
Es gibt unzählige Zertifizierungen, denen sich Cloud-Provider bedienen können, um ein hohes Niveau an Informationssicherheit im eigenen Betrieb sicherstellen zu können. Für künftige Cloud-Kunden ist es oft nicht einfach zu unterscheiden, welche Zertifizierungen tatsächlich einen guten Stand der Informationssicherheit im Unternehmen des Cloud-Providers nachweisen und welche dafür eher ungeeignet sind. Wesentlich für die Auswahl der richtigen Zertifizierung ist vor allem, worauf der Cloud-Kunde selbst seinen Schwerpunkt legt. Handelt es sich bei dem Cloud-Kunden beispielsweise selbst um ein stark reguliertes Unternehmen, so kommen womöglich andere Nachweise zum Tragen als bei Kunden, die entsprechende Anforderungen nicht erfüllen müssen.
Zum Nachweis des Betriebs eines Informationssicherheitsmanagementsystems (ISMS) eignet sich insbesondere die internationale Norm ISO/IEC 27001. Viele Cloud-Provider, vor allem die großen Anbieter, verfügen über diese Zertifizierung. Mit der ISO/IEC 27017 gibt es darüberhinaus mittlerweile eine weitere, weltweite Norm in der 27000er Familie. Die Norm richtet sich explizit an Cloud-Provider und umfasst Maßnahmen für den sicheren Betrieb von Cloud-Diensten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt mit dem Cloud Computing Compliance Criteria Catalogue (C5) seit 2016 ein Testat für den Nachweis der Informationssicherheit bei Cloud-Diensten im Portfolio. Ziel der BSI C5 ist die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Überprüfung, z.B. durch einen Wirtschaftsprüfer. Den BSI C5 liegen verschiedene Standards und Publikationen zugrunde, beispielsweise die bereits genannten ISO-Normen 27001 und 27017, aber auch Frameworks der weltweit bedeutenden Cloud Security Alliance (CSA) und weitere.
Welche Zertifikate der Cloud-Provider in ihrem konkreten Fall mitbringen sollte, ist im Einzelfall zu entscheiden. Mit den genannten Nachweisen haben Sie allerdings einen ersten Anhaltspunkt, an dem Sie sich orientieren können.
Verlagern Sie Ihre Unternehmensdaten in die Cloud, können Sie die Verantwortung für die Daten nicht mit outsourcen. Das heißt, Sie bleiben verantwortlich für die Sicherheit der Daten. Daher sollten Sie mit dem Cloud-Anbieter konkrete Vereinbarungen hinsichtlich der Sicherheitsvorkehrungen für den Schutz der Daten treffen. Achten Sie dabei besonders auf eine lückenlose Architektur. So sollten Ihre Daten sowohl auf dem Transportweg in die Cloud als auch bei der Speicherung in der Cloud stets verschlüsselt sein. Fordern Sie dazu die Nutzung eines Verschlüsselungsalgorithmus ein, der stets dem aktuellen Stand der Technik entspricht.
Damit Ihre verschlüsselten Daten auch tatsächlich sicher sind, sollten Sie klären, wer im Besitz des Schlüssels ist. Wesentlich ist, dass sich dieser nicht bei den Daten befindet. Viele Unternehmen entscheiden sich daher, den Schlüssel selbst zu verwalten, sodass nur das Unternehmen selbst die Daten wieder entschlüsseln kann („BYOK“, Bring-Your-Own-Key). Da in diesem Fall nicht einmal der Cloud-Anbieter die Daten einsehen kann, ermöglicht Ihnen der alleinige Besitz des Schlüssels auch die sichere „Löschung“ der Daten in der Cloud. Das Stichwort hierzu lautet „Crypto-Shredding“: Möchten Sie Ihre Cloud-Daten löschen, müssen Sie dazu den entsprechenden Schlüssel sicher entsorgen oder überschreiben, um die damit verschlüsselten Daten unbrauchbar zu machen.
Auf Basis von gesetzlichen Vorgaben bleiben Sie für die Verarbeitung von Ihren Unternehmens- und insbesondere personenbezogenen Daten verantwortlich, selbst wenn Sie diese vollständig an einen Cloud-Anbieter ausgelagert haben. Daher sollten Sie sich bereits bei Vertragsabschluss umfassende Kontroll- und Steuerungsrechte zusichern lassen, um ihre Sorgfaltspflichten erfüllen zu können. Vor und während der Zusammenarbeit mit dem Cloud-Anbieter sollten Sie sich daher von dessen technischen und organisatorischen Maßnahmen zur sicheren Datenverarbeitung überzeugen.
Bei kleineren Anbietern könnten Sie dies ggf. im Rahmen eines Vor-Ort-Audits tun. Größere Anbieter werden Ihnen allerdings keinen Zutritt zu deren Lokationen gewähren. In diesem Falle sollten Sie darauf achten, dass der Anbieter regelmäßig durch eine unabhängige Prüfstelle auditiert wird. Vereinbaren Sie, dass Sie die Auditreports erhalten und prüfen Sie auch, ob der Scope des Audits auf den Bereich zutrifft, der für die Verarbeitung Ihrer Unternehmensdaten Relevanz hat. So kann der Cloud-Anbieter auch lediglich einzelne Geschäftsprozesse überprüfen lassen, die womöglich in keinem Zusammenhang mit der Verarbeitung Ihrer Daten bzw. der durch Sie beauftragten Services stehen.
Wenn Sie den Vertrag mit Ihrem Cloud-Anbieter einmal kündigen möchten, ist das Streitpotential besonders groß. Daher sollten Sie bereits bei Abschluss des Vertrages eine entsprechende Exit-Abrede mit aufnehmen. In dieser regeln Sie, welche Pflichten bei den Parteien im Falle einer Kündigung des Vertrages liegen. Sie sollten unbedingt festlegen, wie die Zusammenarbeit mit einem potentiellen neuen Cloud-Anbieter laufen soll und welche Stunden- oder Tagessätze hierfür anfallen. Weiterhin sollten Sie sich ein entsprechende Kontingent durch den Cloud-Anbieter zusichern lassen, welches z.B. für die Datenmigration zum neuen Anbieter abgerufen werden kann. Definieren Sie zudem, wieviel Zeit Ihnen für die Migration in die neue Cloud-Umgebung nach Kündigung des Vertrages eingeräumt wird.
Halten Sie alle Pflichten und Verantwortlichkeit in einer entsprechenden Zuständigkeitsmatrix (z.B. RACI) fest und fügen Sie diese als Anlage dem Vertrag bei. Projekte, um von einem zu einem anderen Cloud-Anbieter zu migrieren, sind oft bereits komplex genug. Vermeiden Sie daher, dass es im Falle einer Kündigung zu einem Streit kommt, der womöglich die Migration in die neue Cloud-Umgebung verzögern und Kosten für einen Rechtsstreit verursachen könnte.
Ihr Cloud-Provider wird nur dann reibungslos für Sie tätig werden können, wenn Sie diesen entsprechend in Ihr IT-Service-Management (ITSM) integrieren. Arbeitsabläufe finden ab dem Zeitpunkt des Cloud-Outsourcings nicht mehr ausschließlich in der eigenen Umgebung statt. Vielmehr haben Sie wesentliche, womöglich sogar geschäftskritische Komponenten an einen Dritten ausgelagert. Daher ist es von hoher Bedeutung, diese dritte Partei nun so zu integrieren und zu steuern, dass die Abläufe weiterhin zuverlässig und innerhalb definierter Zielwerte (Service Levels) funktionieren.
Als Grundlage hierzu können Sie sich Best Practices, wie zum Beispiel der Information Technology Infrastructure Library (ITIL), aktuell in der Version 4, bedienen. Die darin beschriebenen Prozesse dienen als ideale Ausgangsbasis, um Ihre IT so zu strukturieren, dass Sie mit externen Parteien kompatibel ist. So werden Sie bei den meisten Cloud-Providern eine entsprechende Organisation nach ITIL vorfinden und sich hier entsprechend mit Ihrem Unternehmen anschließen können.