Sicherheitsempfehlungen für Cloud Computing Anbieter
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
CLOUD COMPUTING | CLOUD COMPUTING GRUNDLAGEN<br />
Typischerweise haben CSPs zwar ihre Angebote auf bestimmte Arten von<br />
Informationen oder Anwendungen zugeschnitten. Dabei stehen sie aber<br />
vorderHerausforderung,dasssiedenspezifischenSchutzbedarfderKundendaten<br />
nicht kennen. Sie könnten <strong>für</strong> alle Kundendaten ein hohes oder<br />
sehr hohes Schutzniveau anbieten, aber das dürfte <strong>für</strong> Daten mit einem<br />
normalen Schutzbedarf zu teuer sein.<br />
Um jedem <strong>Cloud</strong>-Kunden einen Service anbieten zu können, der KundenausverschiedenenBereichensowohlfunktionalalsauchfinanziellüberzeugt,<br />
sollten CSPs frühzeitig Informationssicherheit gegenüber den<br />
<strong>Cloud</strong>-Kunden thematisieren. CSPs sollten ihren Kunden darlegen, welche<br />
Sicherheitsmaßnahmen bei ihren Angeboten zum Standardumfang<br />
gehören, welche zusätzlich zugekauft werden können und <strong>für</strong> welche<br />
Sicherheitsmaßnahmen die Kunden selbst verantwortlich sind. Dies hilft<br />
auch, Missverständnissen vorzubeugen. So werden hohe Schäden, die<br />
von Zwischenfällen wie Datenverlusten verursacht werden, oft dem CSP<br />
angelastet, obwohl es der <strong>Cloud</strong>-Kunde war, der nicht <strong>für</strong> ausreichende<br />
Sicherheit seiner Daten gesorgt hatte, weil er ein zu niedriges Schutzniveau<br />
gewählt hat bzw. ein zu hohes Risiko eingegangen ist.<br />
Deshalb ist es auch <strong>für</strong> den CSP essentiell, dass der <strong>Cloud</strong>-Kunde den<br />
Schutzbedarf der ausgelagerten Informationen oder Anwendungen kennt<br />
bzw. sich im Klaren über das gebotene Schutzniveau ist. So kann der CSP<br />
dem Kunden auch mögliche Sicherheitsvorteile deutlich machen, die sich<br />
durch die Nutzung von <strong>Cloud</strong>-Diensten ergeben können.<br />
Schon im Rahmen der strategischen Entscheidung, ob und in welcher<br />
Form ein <strong>Cloud</strong> Service eingesetzt wird, müssen daher die sicherheitsrelevanten<br />
Rahmenbedingungen vom Nutzer vorher herausgearbeitet werden.<br />
Dies gilt ebenso <strong>für</strong> Public wie <strong>für</strong> Private <strong>Cloud</strong>s, und dort genauso<br />
jeweils<strong>für</strong>IaaS,PaaSundSaaS.Hierzugehörenu. a.folgendeSchritte:<br />
» StrukturanalysevonIT-Systemen(z. B.beiIaaS)undAnwendungen,umeineAbgrenzungzuermöglichenundalleSchnittstellenzuidentifizieren<br />
20