{3} Ein (sicherer) Plan auf dem Weg in die Cloud

31.01.2020

Themen: Cloud | Digitalisierung

Durch neue Technologien wie moderne Cloud-Lösungen entstehen viele neue Schnittstellen und daraus resultierend auch eine Reihe potenzieller Schwachstellen. Diese Schwachstellen können sowohl beim Cloud-Anbieter als auch im firmeninternen Unternehmensnetzwerk entstehen. Wichtig ist es daher, mögliche Gefahren abzusichern bevor ein Risiko auftaucht. Denn wenn auch viele Sicherheitsaspekte in der Verantwortung des Cloud-Anbieters liegen, so ist doch jedes Unternehmen für die Sicherheit seiner Daten selbst verantwortlich. Wenn ein Unternehmen also Cloud-Lösungen nutzen will, sollte es sich vorab ausreichend Gedanken über die Sicherheitsaspekte und die passenden Anbieter machen.

Anknüpfend an den vorherigen Artikel der dreiteiligen Blogreihe zum Thema „Sicherheit in der Cloud“, bietet dieser Artikel acht Handlungstipps, was Entscheider*innen bei der Auswahl einer Cloud-Lösung beachten sollten.

Acht Tipps für die Umsetzung einer sicheren Cloud

Entscheidend bei der Anbieterwahl für einen Cloud-Dienst ist es, das Leistungsportfolio mit den eigenen Anforderungen abzugleichen. Ein Cloud-Konzept, welches die wesentlichen internen Voraussetzungen für den Einsatz eines Cloud-Services, die Anforderungen an eine externe Lösung und den Use-Case beinhaltet sowie den zeitlichen Rahmen festlegt, ist unabdingbar.

1. Bedeutung der Digitalisierung für das eigene Unternehmen verstehen

Heutzutage ist vielen Unternehmen nicht klar, wie genau sich die Digitalisierung im Zuge der Verlagerung von Prozessen in die Cloud auf das eigene Unternehmen auswirkt. Wichtig in diesem Zusammenhang ist, verschiedene Aspekte der Digitalisierung zu definieren und deren Auswirkungen auf das eigene, unternehmerische Handeln zu identifizieren. Oft kommt die Frage auf, welche Bereiche und welche Prozesse sich in Unternehmen digitalisieren und darüber hinaus in die Cloud verlagern lassen und in welchem Bereich außerdem ein Wechsel in die Cloud als sinnvoll erachtet werden kann.

2. Entwicklung einer verbindlichen Unternehmensstrategie für die Cloud

Management und IT müssen eine klare Cloud-Strategie erarbeiten und die zukünftige Richtung strategisch vorgeben – denn die Cloud ist in der Regel keine Insellösung, die eingekauft wird.

3. Dokumentation bestehender Prozesse

Gerade bei der Erarbeitung von Anwendungsbeispielen ist von Bedeutung, die bisherigen Prozesse, Ressourcen und Rollen genau zu dokumentieren und zu definieren, um einen möglichen Cloud-Einsatz, die Nutzung hybrider Szenarien und die Ablösung bestehender Prozesse optimal einschätzen, beurteilen und betreuen zu können.

4. Erarbeiten von Anwendungsbeispielen und Anforderungen für den Cloud-Einsatz

Besonders im Zuge der Digitalisierung und der damit einhergehenden Schnelllebigkeit von Dienstleistungen und Produkten ist darauf zu achten, genau zu evaluieren, welche Prozesse und Bereiche digitalisiert werden können und an welcher Stelle die Auslagerung in einen Cloud-Dienst sinnvoll ist. Denn nicht in allen Bereichen ist der Einsatz einer Cloud-Anwendung nachhaltig. Wurden Anwendungsszenarien evaluiert, ist es sinnvoll, Anforderungen an die Lösung zu definieren, die mit den bestehenden Unternehmensprozessen einhergehen.

5. Analyse des Einsatzes

Um die Einsatzmöglichkeiten einer Cloud-Lösung festzustellen, sollten Unternehmen zunächst die gegebene IT-Infrastruktur analysieren und ein Handlungskonzept für die Migration ableiten. Wichtige Punkte bei einer solchen Analyse ist die Darstellung der Ausgangssituation. Welche Systeme sind in welchen Versionen im Einsatz und wie sieht die Beschaffenheit der IT-Infrastruktur aus.

Auf Basis der Analyse empfiehlt sich die Erstellung eines Handlungs- bzw. Vorgehenskonzeptes. Die beschriebene Handlungsempfehlung konzentriert sich dabei auf die gesamte IT-Umgebung. Eine Ausarbeitung der Vor- und Nachteile im Rahmen einer SWOT-Analyse stärken die Vorgehensweise auf dem Weg in die Cloud. Von Unternehmen zu Unternehmen und sogar von Bereich zu Bereich kann diese Analyse individuell unterschiedlich ausfallen. Abschließend sollte eine Kostenbetrachtung auf mehrere Jahre erfolgen, um eine Amortisierung der Investitionskosten nachvollziehbar zu machen.

6. Überprüfung des Cloud-Anbieters auf die Datenschutz-Anforderungen

Für den Datenschutz müssen alle Beteiligten eines Unternehmens von Beginn an involviert werden. Das sind in der Regel der Datenschutzbeauftragte, der jeweilige Fachbereich sowie der Einkauf. Checklisten können helfen, Anforderungen mit dem Angebot des Cloud-Anbieters zu vergleichen. Eine Übersicht der möglichen Zertifikate, Testate und Prüfverfahren erleichtern die Auswahl.

7. Definition von Sicherheitsmaßnahmen und Umsetzungsstrategien

Abhängig von der bestehenden Infrastruktur und dem ausgewählten Cloud-Modell, welches für den zukünftigen Einsatz in Frage kommt, gilt es Sicherheitsmaßnahmen und Sicherheitsanforderungen zu definieren. Eine Auswahl an möglichen Fragestellungen soll helfen, die Sicherheitsmaßnahmen zu definieren:

• Welche Daten sollen in die Cloud ausgelagert werden?

• Ist DSGVO-Konformität relevant?

• Wie sieht das Sicherheitskonzept für die Daten aus?

• Wie sieht die Vorgehensweise bei einem Sicherheitsvorfall aus?

• Wie ist die Verfügbarkeit geregelt?

• Wie werden Cyber-Attacken erkannt?

• Wie kann ein eventueller Schaden eingegrenzt werden?

• Welche Backup-/ und Restore-Verfahren können eingeleitet werden?

8. Schulung der Beschäftigten

Die Anwender*innen der jeweiligen Lösung müssen zu Beginn mit in den Entscheidungsprozess einbezogen werden und Wissen sowie Erfahrung mit der jeweiligen Anwendung sammeln. Auch nach der Cloud-Einführung sollten interne Schulungen regelmäßig durchgeführt werden. Denn nur der richtige Einsatz und der richtige Umgang mit einer Lösung sind am Ende zielführend und entscheiden über den Erfolg einer Einführung im Unternehmen.

Firmen, die den Weg in die Cloud gehen, müssen sich darüber im Klaren sein, dass immer ein Restrisiko besteht, wenn Daten in diese ausgelagert werden. Es gilt zu evaluieren, wie das eigene, individuelle Konzept „Cloud“ mit bestehenden Cloud-Angeboten auf dem Markt zusammenpasst. Wichtig ist, dass Cloud-Anbieter ihr Sicherheitskonzept erläutern und gemeinsam mit dem Unternehmen die jeweiligen Anforderungen und Sicherheitsmaßnahmen diskutieren und alle Eventualitäten berücksichtigen.

Sind Sie noch nicht überzeugt vom Einsatz der Cloud? Im Whitepaper "Digitalisierung auf dem Vormarsch" erfahren Sie mehr über die Vorteile von Cloud-Lösungen, dargestellt am Beispiel Workflow-Management. Das Whitepaper können Sie hier herunterladen.