Nutzung von Cloud-Diensten gemäß ISO 27002:2022

Cloud-Umgebungen bringen zahlreiche Vorteile, bergen jedoch auch Risiken, die Unternehmen systematisch adressieren müssen. Das Shared-Responsibility-Modell (Modell der geteilten Verantwortung zwischen Cloud-Anbieter und Nutzer) erfordert eine klare Abgrenzung der Zuständigkeiten. Durch angemessene Sicherheitskonfigurationen und laufende Überwachung werden die Controls der ISO 27001 im Cloud-Kontext gestärkt und Compliance-Anforderungen leichter erfüllt.

Die Cloud-Technologie hat die Art und Weise, wie Unternehmen Daten speichern und darauf zugreifen, revolutioniert. Mit dieser Veränderung geht jedoch auch eine neue Reihe von Sicherheitsbedenken einher. Es ist daher unerlässlich, dass Unternehmen Verfahren für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten in Übereinstimmung mit ihren Informationssicherheitsanforderungen festlegen.

Nutzung von Cloud-Diensten

Bis zur jüngsten Ausgabe der ISO 27002:2013 wurde das Thema Cloud in der Norm noch nicht ausreichend berücksichtigt. In Anbetracht der Tatsache, dass neun Jahre später die Cloud-Technologie fast überall eingesetzt wird, hat die ISO 27002:2022 die Norm aktualisiert, um diesem veränderten Umfeld Rechnung zu tragen.

Die Norm betont die entscheidende Bedeutung der klaren Definition und Umsetzung von Verantwortlichkeiten für sowohl den Cloud-Dienstleister als auch für die Organisation, die die Dienste nutzt. Dazu gehören die Definition von Anforderungen an die Nutzung, Auswahlkriterien, Rollen und Verantwortlichkeiten, und welche Maßnahmen von der Organisation selbst und welche vom Anbieter umgesetzt werden müssen.

Auch die Steuerung von Schnittstellen und Änderungen, die Vorbereitungsverfahren bei Informationssicherheitsvorfällen, die Kriterien zur Überwachung, Überprüfung und Bewertung der Cloud-Dienstleistung sowie das Vorgehen bei Änderung oder Ausstieg der Cloud-Nutzung sind zu berücksichtigen.

Dies mag auf den ersten Blick einfach klingen, kann jedoch in der Praxis komplex sein. Viele Cloud-Dienste sind vordefiniert und ihre Bedingungen sind oft nicht verhandelbar. Trotzdem sollten Unternehmen bestrebt sein, die Anforderungen der ISO 27002:2022 so gut wie möglich umzusetzen. Ein Gespräch mit dem Cloud-Anbieter kann dabei von großem Nutzen sein, um die spezifischen Bedürfnisse und Risiken des Unternehmens zu klären.

Zusätzlich zur Definition der Rollen und Verantwortlichkeiten sollten auch bestimmte Aspekte in den Verträgen mit Cloud-Anbietern berücksichtigt werden. Diese beinhalten:

Einhaltung etablierter Standards: Es ist wichtig, dass Cloud-Dienstleister bewährte Standards und Praktiken in ihrer Arbeit einhalten. Dies gewährleistet ein hohes Maß an Sicherheit und Vertrauenswürdigkeit.
Sicherheitsanforderungen für den Zugang: Der Schutz sensibler Daten erfordert starke Kontrollmechanismen. Dazu gehört beispielsweise die Implementierung von Zwei-Faktor-Authentifizierung (2FA) zur Stärkung der Zugangssicherheit.
Malware-Überwachung und -Schutz: Cloud-Dienste sollten robuste Mechanismen zur Erkennung und Abwehr von schädlicher Software (Malware) implementieren, um Daten und Systeme zu schützen.
Geografische Einschränkungen: Die Möglichkeit, bestimmte Länder oder Regionen für die Nutzung des Dienstes zu beschränken, kann ein weiterer wichtiger Aspekt der Sicherheit sein.
Unterstützung bei Sicherheitsvorfällen: Im Falle eines Sicherheitsvorfalls sollte der Cloud-Anbieter umgehend Unterstützung leisten, um den Vorfall zu bewältigen und mögliche Schäden zu minimieren.
Richtlinien für Subunternehmer: Es sollte klare Regeln geben, wenn der Cloud-Dienstleister Dienste an andere Anbieter auslagert, um die Sicherheit und Vertraulichkeit der Daten zu gewährleisten.
Unterstützung bei der forensischen Untersuchung: Der Cloud-Anbieter sollte bei der Sammlung forensischer Daten helfen, um bei Bedarf eine detaillierte Analyse von Sicherheitsvorfällen zu ermöglichen.
Support, auch nach Beendigung der Dienstnutzung: Auch nach dem Verlassen des Cloud-Dienstes sollte der Anbieter Unterstützung bieten, beispielsweise bei der sicheren Datenübertragung.
Erstellung von Sicherheitskopien: Es sollte die Möglichkeit bestehen, regelmäßige Backups von Daten und Konfigurationen zu erstellen, um Datenverlusten vorzubeugen.
Rückgabe von Firmeneigentum: Im Falle der Beendigung des Vertragsverhältnisses sollte der Cloud-Dienstleister sämtliche Daten und Quellcodes, die Eigentum des Unternehmens sind, zurückgeben.
Informationspflicht bei Infrastrukturänderungen: Der Anbieter sollte Verpflichtungen eingehen, das Unternehmen über wesentliche Änderungen an seiner technischen Infrastruktur zu informieren, die die Sicherheit beeinträchtigen könnten.

Die Einhaltung der ISO 27002:2022 stellt sicher, dass Ihr Unternehmen die Cloud effektiv und sicher nutzen kann. Durch eine klare Definition von Rollen, Verantwortlichkeiten und Prozessen sowie durch die Berücksichtigung aller wichtigen Sicherheitsaspekte kann Ihr Unternehmen das volle Potenzial der Cloud-Technologie ausschöpfen, ohne Kompromisse bei der Informationssicherheit einzugehen.

Beispielhaft Schritt für Schritt Anleitung

Im Folgenden findest du beispielhaft eine Schritt-für-Schritt-Anleitung, wie Unternehmen einen sicheren Umgang mit Cloud-Diensten gewährleisten können. Diese Schritte orientieren sich an bewährten Vorgehensweisen und berücksichtigen das Shared-Responsibility-Modell sowie die Anforderungen aus Controls der ISO 27001 im Cloud-Kontext.

Schritt für Schritt Anleitung für Cloud Dienste

Ziele definieren und Anforderungsanalyse durchführen
Unternehmensziele festlegen
Welche Prozesse und Anwendungen sollen in Cloud Dienste ausgelagert werden?Sicherheitsanforderungen klären
Bestimmen, welche Daten besonders geschützt werden müssen (z. B. nach Vertraulichkeitsstufen).
Regulatorische Vorgaben prüfen
Je nach Branche können weitere Compliance-Anforderungen greifen (z. B. DSGVO, HIPAA, PCI-DSS).
Tipp: Eine klare Zielsetzung hilft, die Auswahl des Cloud-Anbieters und die späteren Sicherheitsmaßnahmen passgenau auszurichten.
Cloud-Anbieter auswählen und vertragliche Grundlagen schaffen
Marktrecherche
Angebote verschiedener Cloud Dienste vergleichen (Funktionalität, Preis, Sicherheitsfeatures) Sicherheitszertifikate und Audits prüfen
Achte darauf, ob der Anbieter bereits zertifiziert ist (z. B. nach ISO 27001) oder unabhängige Sicherheits-Audits durchführt.
Service Level Agreements (SLA) und Verträge
Klare Regelungen zu Verantwortlichkeiten, Verfügbarkeitsgarantien, Haftungsfragen und Datenverarbeitungsorte schaffen.
Tipp: Das Shared-Responsibility-Modell besagt, dass der Anbieter für die Sicherheit der Cloud-Infrastruktur verantwortlich ist, während du als Kunde für die Sicherheit deiner Daten und Anwendungen innerhalb der Cloud Dienste sorgst.
Sicherheit im Cloud-Design verankern
Architektur festlegen
Entscheide, ob eine Public, Private oder Hybrid Cloud genutzt wird.
Netzwerksegmentierung
Virtuelle Netzwerke und Subnetze einrichten, um kritische Systeme von weniger sensiblen Umgebungen zu trennen.
Härtung von Servern (Hardening)
Betriebssysteme und Anwendungen standardisiert absichern (z. B. Deaktivierung unbenötigter Dienste, sichere Basiskonfiguration).
Tipp: Eine durchdachte Architektur bildet das Fundament, um Controls im Cloud-Kontext strukturiert umzusetzen und so die Sicherheit deiner Cloud Dienste zu gewährleisten
Identitäts- und Zugriffsmanagement (IAM) etablieren
Benutzerverwaltung
Rollen und Berechtigungen definieren, damit Mitarbeitende nur auf relevante Ressourcen zugreifen können.
Multi-Faktor-Authentifizierung (MFA)
Zusätzliche Schutzschicht bei der Anmeldung einrichten (z. B. Einmalpasswörter via App oder SMS).
Regelmäßige Reviews
Zugriffsrechte in definierten Intervallen prüfen und anpassen (Joiner-Mover-Leaver-Prozess).
Tipp: Ein strenges IAM-Konzept schützt vor unbefugtem Zugriff und stärkt so die Cloud-Sicherheit innerhalb deiner Cloud Dienste.
Verschlüsselung und Schlüsselmanagement implementieren
Datenverschlüsselung
Daten während der Übertragung (z. B. TLS/SSL) und in Ruhe (Encryption at Rest) verschlüsseln.
Key-Management
Sichere Lagerung und Verwaltung der Kryptoschlüssel (z. B. Hardware-Sicherheitsmodule, HSM).
Konfigurationsprüfungen
Sicherstellen, dass Zertifikate aktuell sind und nicht versehentlich ablaufen.
Tipp: Verschlüsselung ist ein zentrales Element, um Vertraulichkeitsanforderungen zu erfüllen und Compliance-Normen einzuhalten – vor allem bei sensiblen Daten in Cloud Dienste.
Monitoring, Logging und Alarmierung
Protokollierung (Logging)
Aktivitäten in der Cloud erfassen (z. B. Zugriff auf Datenbanken, Änderungen an Konfigurationen).
Zentrales Monitoring
Alle Logs in einem Security Information and Event Management (SIEM) bündeln, um Verdachtsmomente schnell zu erkennen.
Alarmierung einrichten
Automatisierte Benachrichtigungen bei sicherheitsrelevanten Ereignissen (z. B. fehlgeschlagene Login-Versuche, ungewöhnliche Zugriffszeiten).
Tipp: Ein lückenloses Monitoring erhöht die Reaktionsfähigkeit bei Sicherheitsvorfällen und unterstützt bei forensischen Analysen rund um deine Cloud Dienste.
Penetrationstests und regelmäßige Audits
Penetrationstests
Externe Sicherheitsüberprüfungen durchführen, um Schwachstellen im Cloud-Setup aufzudecken.
Interne Audits
Kontinuierliche Reviews der Implementierung von Controls und Einhaltung der Sicherheitsrichtlinien.
Externe Zertifizierungen
Zertifikate wie ISO 27017 (Cloud-Security) können das Sicherheitsniveau zusätzlich belegen.
Tipp: Regelmäßige Tests sorgen dafür, dass du nicht nur konform, sondern auch gegenüber neuen Bedrohungen vorbereitet bist – ein wesentlicher Faktor für verlässliche Cloud Dienste.
Notfallmanagement und Desaster Recovery
Business Impact Analysis (BIA)
Kritische Anwendungen und Systeme identifizieren, um Wiederherstellungszeiten festzulegen.
Redundanzen und Backups
Daten auf mehrere Regionen oder Zonen verteilen. Regelmäßige Sicherungen erstellen und Wiederherstellungsprozesse testen.
Notfallpläne dokumentieren
Schlanke, klar definierte Abläufe für Krisensituationen (z. B. bei Ransomware-Angriffen oder Infrastruktur-Ausfällen).
Tipp: Eine robuste Notfallplanung gewährleistet, dass Ausfallzeiten minimiert werden und der Geschäftsbetrieb schnell wiederhergestellt werden kann.
Schulungen und Sensibilisierung
Awareness-Trainings
Mitarbeiter:innen für den Umgang mit Cloud-Diensten sensibilisieren (z. B. Passwort-Management, Phishing-Erkennung).
Sicherheitskultur fördern
Offene Kommunikationswege ermöglichen, damit Verdachtsfälle und Fehler früh gemeldet werden.
Regelmäßige Updates
Schulungsinhalte auf dem neuesten Stand halten (z. B. neue Cloud-Funktionen, aktuelle Bedrohungsszenarien).
Tipp: Technik alleine reicht nicht – das Sicherheitsbewusstsein der Mitarbeitenden ist entscheidend für den Erfolg.
Kontinuierliche Verbesserung (PDCA-Zyklus)
Plan (Planen)
Sicherheitsziele und Maßnahmen definieren (basierend auf Auditergebnissen und Risikobewertungen).
Do (Umsetzen)
Maßnahmen implementieren und Verantwortlichkeiten klären.
Check (Überprüfen)
Erfolg anhand von KPIs und Audits messen (z. B. Anzahl Security-Incidents, Reaktionszeiten).
Act (Anpassen)
Prozesse verbessern, um neue Anforderungen und Bedrohungen zu bewältigen.
Tipp: Ein konstanter Verbesserungsprozess stellt sicher, dass die Controls ISO 27001 (#7) im Cloud-Kontext stets optimal umgesetzt und aktualisiert werden.

Zusammenfassung

Der sichere Umgang mit Cloud-Diensten beruht auf einer Kombination aus solider Architektur, klaren Verantwortlichkeiten und kontinuierlichen Sicherheitsmaßnahmen. Wer das Shared-Responsibility-Modell versteht, die Cloud-Umgebung konsequent härtet, Monitoring und Audits durchführt sowie die Mitarbeitenden schult, kann die Vorteile von Cloud Dienste voll ausschöpfen, ohne dabei Kompromisse bei der Sicherheit einzugehen.

Hinweis: Cloud-Umgebung konsequent härten bedeutet, dass alle Komponenten einer Cloud-Infrastruktur – von den virtuellen Maschinen über Netzwerkeinstellungen bis hin zu den eingesetzten Diensten – systematisch auf Sicherheit getrimmt werden. Konkret umfasst das:

Standard-Images absichern (Hardening)
Entfernen oder Deaktivieren nicht benötigter Dienste, Ports und Protokolle.
Verwenden von sicheren Betriebssystem-Konfigurationen (z. B. nach anerkannten Benchmarks wie CIS Benchmarks).
Netzwerksegmentierung
Trennung sensibler Bereiche von weniger kritischen Umgebungen (z. B. über Virtual Private Clouds, Subnetze und Firewalls).
Granulare Zugriffsregeln und strikte Kontrollmechanismen (Network Access Control).
Regelmäßige Patch- und Update-Prozesse
Zeitnahes Einspielen von Sicherheits-Updates für Betriebssystem, Middleware und Anwendungen.
Überwachung kritischer Schwachstellen und automatisiertes Patch-Management, sofern möglich.
Sichere Authentifizierungs- und Autorisierungskonzepte
Einrichtung eines robusten Identitäts- und Zugriffsmanagements (IAM), das Rollen- und Berechtigungsstrukturen klar vorgibt.
Einsatz von Multi-Faktor-Authentifizierung (MFA) für besonders kritische Zugriffe.
Verschlüsselung und Schlüsselmanagement
Sicherstellen, dass Daten sowohl im Ruhezustand (at rest) als auch bei der Übertragung (in transit) verschlüsselt sind.
Zentralisiertes und sicheres Schlüsselmanagement (z. B. Hardware-Sicherheitsmodule, HSM).
Logging, Monitoring und Alarmierung
Einrichtung eines umfassenden Protokollierungs- und Überwachungssystems, um Anomalien schnell zu erkennen.
Automatisierte Alarmierungen bei verdächtigen Zugriffsversuchen oder Konfigurationsänderungen.
Regelmäßige Sicherheitsüberprüfungen und Tests
Durchführung von Penetrationstests oder Code-Reviews.
Regelmäßiges Scannen auf Schwachstellen (Vulnerability Scanning) in Betriebssystemen, Anwendungen und Netzwerkkomponenten.

Anmerkung: Durch das „konsequente Härten“ werden potenzielle Angriffspunkte minimiert, sodass der Betrieb in der Cloud besser gegen unautorisierte Zugriffe und andere Sicherheitsbedrohungen geschützt ist. Im Kontext externer Cloud-Dienste empfiehlt es sich, zusätzlich zu den bereits genannten Schritten auch folgende Aspekte der ISO 27001 (bzw. ISO/IEC 27002) besonders zu beachten:

Nutzung von Cloud Diensten

Risikoanalyse für Drittanbieter
Vor der Zusammenarbeit mit einem Cloud-Dienst ist eine Sicherheits- und Risikobeurteilung durchzuführen (z. B. im Rahmen der Maßnahmen aus A.5.23 „Informationssicherheit für die Nutzung von Cloud-Diensten“ in ISO/IEC 27001:2022).
Klar formulierte Verträge
Verträge sollten Vorgaben zum Datenschutz, zur Datenspeicherung (Region/Jurisdiktion), zur Verfügbarkeit der Dienste und zu klaren Haftungsregelungen enthalten.
Audit- und Prüfungsrechte
Wenn möglich, sollte ein vertragliches Recht auf Audits oder unabhängige Sicherheitsprüfungen vereinbart werden.

Datenlokation und Rechtsraum

Rechtliche Rahmenbedingungen
Die Speicherung von Daten in bestimmten Regionen oder Ländern unterliegt oft zusätzlichen Compliance-Regeln (z. B. DSGVO in der EU).
Jurisdiktionsrisiken
Je nach Standort der Rechenzentren können andere Datenschutz- und Offenlegungspflichten greifen (z. B. US-Cloud Act).
Klarheit über Datenflüsse
Dokumentieren, wo genau die Daten gespeichert und verarbeitet werden, um Transparenz für Kunden, Behörden und interne Stakeholder zu gewährleisten.

Ausfallsicherheit und Exit-Strategie

Notfallpläne
Definierte Prozesse für den Fall, dass der Cloud-Dienst nicht verfügbar ist (z. B. alternative Anbieter, On-Premise-Fallback).
Wiederherstellungsvereinbarungen (DR & BC)
Sicherstellen, dass ein Disaster-Recovery-Konzept existiert, das dem geforderten Recovery Time Objective (RTO) und Recovery Point Objective (RPO) entspricht.
Exit-Klauseln
Vorsorge treffen, wie Daten migriert oder gelöscht werden können, wenn der Vertrag endet oder der Anbieter nicht mehr nutzbar ist.

Überwachung von Cloud-Diensten

SLA-Überwachung
Regelmäßig kontrollieren, ob der Cloud-Anbieter die zugesicherte Verfügbarkeit und Leistung einhält.
Kontinuierliches Monitoring
Echtzeit-Überwachung von Sicherheitsereignissen und -meldungen in der Cloud-Umgebung (z. B. Log-Management, SIEM).
Regelmäßiges Reporting
Erstellung von Berichten über Sicherheit, Compliance und Leistungskennzahlen, die sowohl intern (z. B. an die Geschäftsleitung) als auch extern (z. B. an Kunden oder Aufsichtsbehörden) kommuniziert werden können.

Awareness und Schulung in Bezug auf externe Provider

Sensible Daten identifizieren
Mitarbeitende sollten wissen, welche Daten in externen Cloud-Diensten gespeichert werden dürfen und welche nicht.
Prozesse für Freigaben
Klare Regeln aufstellen, wann eine neue Nutzung von Cloud-Diensten eingeführt und genutzt werden dürfen – z. B. durch eine Informationssicherheits- oder Datenschutzabteilung freizugeben.
Fortlaufendes Training
Da externe Dienstleistungen sich häufig ändern (neue Versionen, geänderte AGB usw.), sollten auch die Mitarbeitenden ihre Kenntnisse regelmäßig auffrischen.

Spezifische Sicherheitsarchitektur für die Cloud

Technische Anbindung
Schnittstellen und APIs zum externen Cloud-Dienst so absichern, dass keine unberechtigten Zugriffe möglich sind (z. B. Zugriffstoken, API-Gateways).
Mandantentrennung
Sicherstellen, dass die genutzten Ressourcen beim Cloud-Anbieter zuverlässig von anderen Mandanten isoliert sind.
Konfiguration und Überprüfung
Gerade bei IaaS/PaaS-Angeboten können Fehlkonfigurationen (z. B. offene Ports, schwache Authentifizierung, falsche Rechtevergabe) ein massives Risiko darstellen.

Kontinuierliche Verbesserung und Dokumentation

Regelmäßige Audits
Ob intern oder extern – die Integration der genutzten Cloud-Dienste in das ISMS bedarf einer ständigen Kontrolle und Aktualisierung der Dokumentation (z. B. Risikoregister, Maßnahmenkataloge).
Management-Bewertung
Die Leitung sollte über den Status der Nutzung externer Cloud Diensten und relevante Risiken im Rahmen des Management-Reviews informiert sein.
Aktualisierung bei Änderungen
Sobald sich Dienste, Anbieter, Prozesse oder gesetzliche Vorgaben ändern, müssen die Dokumentation und die entsprechenden Kontrollen angepasst werden.

Event- und Incident-Management mit externen Providern

Verbindliche Incident-Response-Prozesse
Vertragsseitig regeln, wie bei Sicherheitsvorfällen (z. B. Datenlecks, Ransomware) zu verfahren ist.
Reporting-Pflichten
Klären, in welchem Zeitfenster und über welche Kanäle der Cloud-Anbieter meldepflichtige Ereignisse mitteilen muss.
Forensische Unterstützung
Bei Bedarf sollte der Anbieter die Möglichkeit geben, Protokolle zu prüfen und Beweise zu sichern (z. B. im Rahmen von IT-Forensik).

Zusammenfassung

Wer externe Cloud-Dienste nutzt, sollte nicht nur auf technische Schutzmaßnahmen (z. B. Hardening, Verschlüsselung, Monitoring) achten, sondern auch vertragliche, organisatorische und regulatorische Aspekte in sein ISMS integrieren. Indem Lieferantenrisiken, Rollen und Verantwortlichkeiten klar definiert sowie Notfall- und Exit-Strategien konzipiert werden, erfüllt man zentrale Anforderungen der ISO 27001 und gewährleistet ein hohes Sicherheitsniveau in der Zusammenarbeit mit Cloud-Providern.

FAQ zu externen Cloud-Diensten

Was versteht man unter „externen Cloud-Diensten“?

Nutzung von externer Cloud Diensten sind IT-Services, die nicht im eigenen Rechenzentrum, sondern bei einem Cloud-Anbieter (Provider) betrieben werden. Beispiele sind Cloud-Speicher, Cloud-Datenbanken, virtualisierte Server (IaaS), Plattform-Dienste (PaaS) oder Software-as-a-Service-Angebote (SaaS).

Welche Vorteile bieten externe Cloud-Dienste?

Unternehmen profitieren vor allem von Skalierbarkeit, Flexibilität und Pay-as-you-go-Modellen. Zusätzlich entfallen Investitionen für eigene Hardware und deren Wartung. Auch der schnelle Zugriff auf neue Technologien und Services (z. B. KI, Big Data) ist ein Pluspunkt.

Welche Risiken muss man bei der Nutzung externer Cloud-Dienste berücksichtigen?

Mögliche Risiken sind Datenverlust, unautorisierte Zugriffe, Abhängigkeit vom Cloud-Anbieter (Vendor-Lock-in), rechtliche Unsicherheiten bei der Datenverarbeitung im Ausland sowie potenzielle Ausfälle oder Serviceunterbrechungen.

Warum ist das Shared-Responsibility-Modell (geteilte Verantwortung) so wichtig?

Bei externer Nutzung von Cloud Diensten unterscheidet man zwischen Sicherheit der Cloud (Aufgabe des Anbieters) und Sicherheit in der Cloud (Aufgabe des Kunden). Das Modell definiert genau, wer welche Sicherheitsmaßnahmen übernehmen muss, um einen umfassenden Schutz zu gewährleisten.

Welche Rolle spielt ISO 27001 bei externen Cloud-Diensten?

ISO 27001 ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme. Wenn ein Cloud-Anbieter (oder das eigene Unternehmen) nach ISO 27001 zertifiziert ist, werden organisatorische und technische Sicherheitsmaßnahmen systematisch erfasst, umgesetzt und regelmäßig überprüft. Dies schafft Transparenz und Vertrauen in Bezug auf die Sicherheit.

Was sollte in den Verträgen mit Cloud-Anbietern geregelt sein?

Relevante Punkte sind Service Level Agreements (SLAs) zur Verfügbarkeit und Performance, Regelungen zur Haftung, Rechtsraum (Gerichtsstand), Datenschutz (z. B. DSGVO-Konformität), Audit-Rechte und Exit-Strategien (Datenportabilität).

Wie stellt man sicher, dass sensible Daten in der Cloud ausreichend geschützt sind?

Wichtige Maßnahmen sind die Verschlüsselung sensibler Daten (im Ruhezustand und bei der Übertragung), eine sorgfältige Zugriffs- und Rechteverwaltung (IAM), regelmäßige Updates und Patches sowie Monitoring und Alarmierung bei Sicherheitsvorfällen.

Was sind typische Compliance-Anforderungen beim Einsatz externer Cloud-Dienste?

Abhängig von Branche und Standort können z. B. DSGVO (EU-Datenschutzgrundverordnung), HIPAA (Gesundheitsbereich in den USA) oder PCI DSS (Zahlungskartenstandards) relevant sein. Unternehmen müssen sicherstellen, dass der Cloud-Anbieter die jeweiligen Vorgaben erfüllt.

Wie kann man eine sichere Datenlöschung bei externen Cloud-Diensten garantieren?

Es sollte vertraglich festgehalten sein, wie und wann Daten nach Vertragsende oder auf Anfrage gelöscht werden („Right to be Forgotten“). Außerdem bieten viele Cloud-Anbieter Tools für die automatisierte Löschung von Daten oder Versionen. Eventuell ist ein zusätzlicher Nachweis über die erfolgte Löschung sinnvoll (Deletion Certificate).

Was sollte man bei der Auswahl eines Cloud-Anbieters besonders beachten?

Wichtige Kriterien sind Zertifizierungen (z. B. ISO 27001, ISO 27017, ISO 27018), Referenzen, Standort der Rechenzentren (um rechtliche Vorgaben zu erfüllen), SLAs, Preismodell und Qualität des Supports. Eine gründliche Risikoanalyse vor Vertragsabschluss ist unerlässlich.

Wie sieht eine Exit-Strategie für externe Cloud-Dienste aus?

Eine Exit-Strategie beschreibt, wie Daten und Anwendungen zurückgeführt oder zu einem anderen Anbieter migriert werden können. Dazu gehören technische Aspekte (Datenformate, Kompatibilität), klare Fristen und eventuelle Kosten. Eine saubere Exit-Strategie beugt Vendor-Lock-in vor.

Welche Rolle spielen Schulungen und Sensibilisierung für die Mitarbeitenden?

Technik allein bietet keinen vollständigen Schutz. Mitarbeitende sollten wissen, welche Daten in die Cloud dürfen, wie sie sich sicher anmelden (z. B. MFA, Passwortrichtlinien) und wo mögliche Gefahren (z. B. Phishing) lauern. Regelmäßige Schulungen und eine gelebte Sicherheitskultur sind daher essenziell.