Aktuelle Praxishilfen:

Ganzheitlich digitale Rechnungsprozesse

In der Praxishilfe werden die kritischen Faktoren in der gegenwärtigen Realität

... [mehr]
Fitness-Check der IT-Infrastruktur

Die Praxishilfe untersucht die Leistungsbedingungen anhand von zehn zentralen Me

... [mehr]
Auswahl des IT-Providers nach der Service-Qualität

Anhand der Praxishilfe können die Anwender unter dem Gesichtspunkt der Service-Q

... [mehr]
Analyse der internen IT-Service-Qualität

Im Wettbewerb kommt nicht nur den IT-Technologien, sondern auch der Qualität der

... [mehr]
Anforderungsanalyse ECM

Die Praxishilfe beschäftigt sie sich insbesondere mit den zentralen Nutzenaspekt

... [mehr]
Suchen & Finden  
erweiterte Suche  

Sicherheitsanforderungen bei Cloud-Services sind den Unternehmen häufig unklar

19.11.14

Nach den Praxiserfahrungen der TÜV TRUST IT ist vielen Unternehmen die Komplexität der Sicherheitsanforderungen beim Einsatz von Cloud-Services nur unzureichend bewusst. Notwendig sind systematische Evaluierungsverfahren bei der Providerauswahl zur Risikominderung.

 

So gehört beispielsweise zu den Pflichtanforderungen, dass der Cloud-Provider ein IS-Risikomanagementsystem mit entsprechenden Maßnahmen etabliert hat und eine kontinuierliche Bewertung der Risikosituation vornimmt. Auch eine Klassifizierung und Kennzeichnung der Informationen und Dokumente hinsichtlich ihres Schutzniveaus ist ebenso erforderlich wie angemessene Geheimhaltungsvereinbarungen für Mitarbeiter und Dritte. Die Verträge müssen zudem den Schutz aller Vermögenswerte der Organisation garantieren, was insbesondere für den Datenaustausch und die Sicherheitsmechanismen gilt.

 

Hinzu kommt, dass es differenzierter Richtlinien und Verfahrensweisen für die Gerätewartung bedarf, um die Kontinuität und Verfügbarkeit des Betriebs sicherzustellen. Dies beinhaltet nicht zuletzt die Notwendigkeit einer Backup-Strategie, in der die Anforderungen an Backup-Frequenzen, Auswahl der Backup-Medien sowie Lokation der Backup-Systeme abgebildet sind und Rücksicherungen in regelmäßigen Abständen berücksichtigen. Zusätzlich muss dem Business Continuity Management ein großes Augenmerk geschenkt werden, dessen dokumentierte Pläne einen hohen Detaillierungsgrad aufweisen, regelmäßig getestet und validiert sind.

 

Nicht vergessen werden darf auch, dass die Prozesse, IT-Systeme und Infrastruktur des Cloud-Providers transparent und differenziert dokumentiert sind. Darüber hinaus muss ein Incident Management-Prozess einschließlich der Rollen und Verantwortlichkeiten sowie der Schnittstellen zum Problem Management etabliert sein. Dazu gehören auch Verfahren zur Beweissicherung. Für das Netzwerkmanagement wiederum müssen dokumentierte Richtlinien und Verfahrensanweisungen mit Zugriffskontrolle, Zugängen, Segmentierung, Routing, Logging etc. vorhanden sein.

 

„Dies sind jedoch nur Beispiele eines umfassenden Analyse-Spektrums“, betont Stefan Möller, Leiter Vertrieb der TÜV TRUST IT. Dazu gehören auch zahlreiche andere Aspekte wie die Reglementierung des Zugriffs auf Source-Codes, Vorgaben für die Verschlüsselung zum Schutz sensibler Daten oder die Festlegung der Kundenkommunikationsprozesse, in der alle Datenschutzbelange geregelt sind. Der Security-Spezialist hat deshalb mit seinem Cloudability-Check ein methodisches Verfahren entwickelt.

 

Damit wird ermittelt, welche Anforderungen an den Cloud-Anbieter bestehen. Auf der Grundlage eines entsprechenden Lastenhefts mit den nichtfunktionalen Anforderungen können eine Evaluation im Markt, die spezifische Ausschreibung sowie Bewertung eingehender Angebote durchgeführt werden. In einem Folgeschritt richtet sich der Fokus auf die potenziell in Frage kommenden Cloud-Provider. Sie werden mittels des Lastenhefts und der Trusted-Cloud-Services, einem zusätzlichen Analyse-Verfahren der TÜV TRUST IT, überprüft. Auf diese Weise können die Unternehmen eine substanzielle Risikominderung und messbare Qualitätsoptimierung bei der Auslagerung von IT-Services in die Cloud erreichen.

 

Weitere Meldungen

Umfrage: Bürger haben großes Verständnis für den Streik bei der Telekom

Der Streik bei der Deutschen Telekom stößt bei 78 Prozent der Bundesbürger auf Zustimmung.

...
BITKOM begrüßt Entscheidung zur Digitalen Dividende

Der Hightech-Verband BITKOM begrüßt die Entscheidung zur sogenannten Digitalen Dividende d

...
Heinrich Eibach GmbH optimiert ihr ERP mit Trovarit AG

Mittels eines durch Trovarit entwickelten Online-Werkzeug untersuchte die Heinrich Eibach

...
Detecon-/BITKOM-Studie zur IT-Organisation 2015

IT-Organisationen werden künftig stärker als derzeit üblich  die Geschäftsstrategien

...
SAP gibt vorläufige Ergebnisse für das 3. Quartal bekannt

Europas  größter Software Hersteller SAP hat die Erwartungen im dritten Quartal teilw

...
d.3ecm überzeugt mit über 500 Erweiterungen und Modifikationen

 

Weiterentwicklungen der d.velop-Lösung dienen der einfacheren Bedienung und Administrati

...
Marktführende CRM-Beratungsunternehmen setzen mit Zusammenarbeit Zeichen für den Ausbau des Oracle-Business in Zentraleuropa

Karlsruhe/München/Wien/Pfäffikon/Zürich, 16. Februar 2010 – Die CRM-Beratungsunternehmen e

...
VMware veröffentlicht Quelltext für seine Tools

Der Spezialist von Virtualisierungssoftware, VMware, hat den Quelltext seiner Tools für Li

...
ec4u erweitert deutschen Vorstand um Vertriebsexperten Mario Pufahl

Als eines der marktführenden CRM-Beratungsunternehmen in Zentraleuropa forciert die ec4u e

...
Teilnehmer bewerten d.forum als empfehlenswerten ECM-Fachkongress

Fast 600 Teilnehmer haben am diesjährigen d.forum des ECM-Spezialisten d.velop AG Anfang J

...