Hinweise zur Suche mit Platzhaltern: "+" Plus: Sucht gleichzeitig mehrere Begriffe innerhalb eines Beitrags "*" Sternchen: Es wird nach Begriffen gesucht, die den Wortanfang, bzw. dem Wortende entsprechen. " "" " Anführungszeichen: Sucht genau nach den eingegebenen Begriff(en) zwischen den Anführungszeichen

Cloud-Nutzung und Betrieb

Was Sie bei der Cloud-Nutzung beachten sollten

Nach der Auswahl und erfolgreichen Einführung von Cloud Services sollte sichergestellt werden, dass sich die gewünschte Qualität und die erwarteten Vorteile bei der Nutzung auch tatsächlich einstellen. Hierfür können Anwender und Anbieter gemeinsam mit verschiedenen Maßnahmen Sorge tragen.

Zwei wesentliche Aspekte in diesem Zusammenhang sind der Faktor Sicherheit sowie die Überwachung der Nutzung (bei nutzungsabhängigen Kostenmodellen / Pay per use) und Kosten der genutzten Cloud Services.

Accordion Element
Headline
Maßnahmen zur Sicherstellung der IT-Sicherheit bei Cloud-Nutzung
Text

Um die Maßnahmen zur unternehmensinternen IT-Sicherheit an die Besonderheiten der Cloud-Nutzung anzupassen, bedarf es der Beachtung folgender Punkte:

  • Regelmäßige Aktualisierung von Dokumentationen und Richtlinien, wie z. B. Betriebshandbücher, Nutzungsanweisungen oder Anleitungen. Dabei kommt es auf die Art, der in Anspruch genommenen Cloud-Lösung an, wer hier in der Pflicht steht. Handelt es sich um SaaS, dann liegt diese Aufgabe in der Hand der Cloud-Anbieter. Wurde eine PaaS eingekauft, liegt die Pflicht/Aufgabe in den Händen der eigenen IT-Abteilung.
  • Sofern mit der eingekauften Cloud-Lösung personenbezogene Daten verarbeitet werden, kommen zudem verschiedene Nachweispflichten im Zuge der EU-DSGVO hinzu. Auch diese Nachweise sollten regelmäßig überprüft werden.
  • Regelmäßige Kontrollen und Abstimmungsrunden im Anwenderunternehmen, die sich über möglichst viele Bereiche der Cloud-Nutzung erstrecken. Diese geben z. B. Klarheit über die ordnungsgemäße Administration und den Status der Serviceerbringung.
  • Damit Sicherheitsschwachstellen möglichst schnell bereinigt werden können, sollten regelmäßige Reviews, das heißt Prüfungen und Lagebesprechungen, zwischen Cloud-Dienstanbieter und Anwendern stattfinden.
  • Auch die Planung und Durchführung von Sicherheitsprüfungen, Penetrationstests (umfassenderen Sicherheitstests einzelner Rechner oder ganzer Netzwerk) oder Schwachstellenanalysen sind wichtig, um die Informationssicherheit aufrecht zu erhalten und mögliche Reaktionen auf Systemausfälle zu überprüfen. Sollte das Anwenderunternehmen hierzu keine Kapazitäten haben oder nicht über das nötige Know-how verfügen, können derartige Tests auch extern durch Dritte erfolgen oder man kann sie als Teil der Serviceerbringung vertraglich festlegen.
  • Zudem können sogenannte Audits durchgeführt werden, um Abweichungen zu vertraglichen Vereinbarungen, z. B. Nicht-Einhaltung bestimmter Service Level Agreements oder Missachtung von Sicherheitsvorgaben, transparent zu machen. Dabei versteht man unter Audit eine formale Überprüfung und Analyse.
Headline
Fehlerhafte Nutzung auf Anwenderseite
Text

Die vorgenannten Maßnahmen haben insbesondere die technischen und prozessualen Gegebenheiten im Blick. Doch daneben gibt es auch den Faktor Mensch, der ein Risiko während des laufenden Cloud-Nutzungs-Betriebs sein kann. Denn nicht selten kommt es zur fehlerhaften Nutzung von Cloud Services durch einzelne Mitarbeiter des Kunden:

  • So kann es vorkommen, dass Benutzer den Cloud Service für Informationen verwenden, deren Schutzbedarf höher klassifiziert ist als der Schutzbedarf, für den der verwendete Cloud Service ursprünglich definiert wurde. Der Schutzbedarf beschreibt, welcher Schutz für ein IT-Verfahren und die darin verarbeiteten Daten ausreichend und angemessen ist. Hier gilt es, ein entsprechendes Bewusstsein für sicherheitsrelevante Aspekte bei den eigenen Beschäftigten zu schaffen.
  • Ebenso kann der Zugriff auf einen Cloud Service u. U. über nicht autorisierte Kanäle oder Schnittstellen erfolgen. Die Folge können unerwünschte und nicht kontrollierte Kommunikationsverbindungen sein. In vielen Unternehmen und Organisationen gibt es hierzu klare Regelungen, die allen Beschäftigten bekannt sein oder spätestens im Zuge der Implementierung des Cloud Services bekannt gemacht werden sollten.
  • Auch die fehlerhafte Benutzung spezieller Funktionen, wie beispielsweise die Freigabe von Dateien oder Ordnern für andere Benutzer, birgt ein großes Risiko für die Datensicherheit und den Datenschutz. Denn hierdurch können unberechtigte Personen Zugriff auf vertrauliche Informationen des Unternehmens erhalten.
Headline
Überwachung des Verbrauchs und der Kosten
Text

Einer der Vorteile von Cloud-Lösungen ist die Bezahlung nach Nutzung, das heißt es muss nicht mehr für Ressourcen gezahlt werden, die nur zur Sicherheit vorgehalten aber nicht genutzt werden. Doch solche verbrauchsorientierte Preismodelle (Pay per use) erfordern eine Überwachung der tatsächlichen Nutzungsintensität. Andernfalls können die mit der Nutzung verbundenen Kosten leicht von den geplanten Kosten abweichen und das geplante Budget übersteigen. So kann es beispielsweise dazu kommen, das Beschäftigte exzessiven Gebrauch von Supportleistungen machen, ohne dabei im Blick zu haben, dass dadurch Kosten verursacht werden.

  • Abhilfe bieten Werkzeuge, die von verschiedenen Cloud-Anbietern eigens zur Überwachung des Verbrauchs bereitgestellt und eingesetzt werden können. Hiermit lässt sich die tatsächliche Cloud Service-Nutzung mit der geplanten und im Kostenrahmen vorgesehenen Nutzung zu vergleichen.
  • Darüber hinaus können in regelmäßigen Abstimmungsrunden zwischen Cloud-Anbieter und -Anwender Qualitätsaspekte wie Kundenzufriedenheit und Verbesserungspotenziale thematisiert werden.

Der Leitfaden soll eine Orientierungshilfe für die rechtliche Ausgestaltung von Verträgen über Cloud-Dienste geben. Er richtet sich insbesondere an Entscheider sowie Mitarbeiter von Rechtsabteilungen in Unternehmen, die Cloud-Dienste anbieten oder nutzen möchten. Das Kapitel 4 - "Hinweise zu einzelnen Vertragsinhalten", gibt unter anderem Hinweise darauf, wie z. B. IT Sicherheit und Berichtswesen im Vertrag geregelt sein müssen.

Bereits 2016 hatte der Bitkom eine Handreichung zur Führung eines Verfahrensverzeichnisses veröffentlicht. Diese hat der Branchenverband aus aktuellem Anlass komplett überarbeitet und an die Anforderungen der EU-DSGVO angepasst. Durch die Datenschutz-Grundverordnung nimmt die Bedeutung der Dokumentation der Datenverarbeitung im Unternehmen zu. In dem Leitfaden werden Begriffe und Grundlagen eines Verarbeitungsverzeichnisses erklärt und der Erstellungsprozess erläutert.