05.02.2015

QSC beantwortet fünf wichtige Fragen bei der Auswahl eines Cloud-Providers

Köln, 5. Februar 2015. In Zeiten steigender IT-Sicherheitsrisiken müssen Unternehmen eine ganzheitliche Strategie für ihre interne und in die Cloud ausgelagerte IT-Systemlandschaft verfolgen. Bei der Migration von Daten und Applikationen sollten sie vorab prüfen, welche organisatorischen und technischen Anforderungen ein Provider in seinem Rechenzentrum erfüllt. QSC erläutert die zentralen Themen.

IT-Sicherheit wird für Unternehmen immer wichtiger, egal, ob Unternehmen ihre gesamte IT im eigenen Rechenzentrum betreiben oder Teile an einen Cloud-Provider auslagern.

Die Ergebnisse einer Sicherheitsstudie* aus dem Jahr 2014 lässt aufhorchen: Nach dem so genannte Informationsrisiko-Index rangiert Deutschland auf dem letzten Platz. Der so genannte Reifeindex zum Informationsrisiko untersucht, inwiefern mittelständische und größere Firmen in Europa und Nordamerika ihre Informationen schützen und sie zu ihrem Geschäftsvorteil nutzen.

Ein wirksamer Schutz der Daten hat oberste Priorität. Steht eine Entscheidung über die Migration ausgewählter Applikationen in die Cloud an, müssen Unternehmen vorab die zentralen Fragen der IT-Sicherheit genau abklären. QSC hat die wichtigsten Aspekte in fünf Punkten zusammengefasst.

1. Wie schützt ein Anbieter von Cloud-Services sein Netz und seine Server gegen Angriffe?

Unternehmen sollten sich davon überzeugen, dass der Cloud-Provider regelmäßig systematische Überwachungen durchführt, um ungewöhnliches Verhalten aller Systemkomponenten sofort aufzudecken und Schwachstellen zu beseitigen. Das schließt auch die Kontrolle aller Logfiles und Protokolle der Server ein. Darüber hinaus sollten Systemkomponenten auch regelmäßig auf offene Ports und Sicherheitslücken untersucht werden. Die Überwachung aller Systemkomponenten muss lückenlos rund um die Uhr erfolgen.

2. Sind die Daten in einem deutschen Rechenzentrum besser geschützt als im Ausland?

Im Mittelpunkt stehen dabei die legalen Zugriffsmöglichkeiten auf Daten, wie sie sich aus dem US-amerikanischen Patriot Act ergeben. Das seit 2001 geltende Gesetz erlaubt es US-Behörden, Zugriff auf die Server von US-Unternehmen oder solchen mit US-Töchtern zu erlangen – selbst dann, wenn sich die Server nicht auf dem Staatsgebiet der USA befinden. Die nur in Deutschland ansässigen Anbieter von Cloud-Services sind vom Patriot Act nicht betroffen. Für sie gilt das Bundesdatenschutzgesetz, das enge Regeln für die Verarbeitung und Speicherung personenbezogener Daten vorsieht.

3. Wie sicher sind Firmennetzwerke des Cloud-Providers?

Ein bedeutendes Kriterium ist beispielsweise der Einsatz von MPLS, bei dem Carrier im Vorfeld die jeweiligen Verbindungswege der Datenpakete festlegen können. Das verhindert unter anderem, dass die Daten auf ihrem Weg vom Firmennetzwerk des Kunden zum Cloud-Provider über unbekannte Wege gestohlen werden können. Für die Sicherheit sollten netzbasierte Firewalls zum Einsatz kommen, die Angriffe bereits im Übertragungsnetz abweisen.

4. Wird eine verschlüsselte Datenübertragung angeboten?

Gerade bei sensiblen und vertraulichen Daten sollten Unternehmen prüfen, welche Optionen zur Verschlüsselung von Daten angeboten werden, etwa zu einer verschlüsselten Übertragung innerhalb eines MPLS-VPNs. Einige Anbieter verschlüsseln standardmäßig den Datenverkehr zwischen den Geräten ihrer Kunden und den Servern im Cloud-Rechenzentrum. Eine höhere Sicherheit entsteht, wenn die Daten vor der Übertragung beim Kunden sowie zusätzlich auf den Storagesystemen des Cloud-Providers verschlüsselt werden.

5. Welche Standards erfüllt das Rechenzentrum des Cloud-Providers?

Eine bedeutende Rolle in diesem Zusammenhang spielt die internationale Norm ISO/IEC 27001. Auch wenn sie unabhängig von der Diskussion um IT-Sicherheit in der Cloud entstand, hat sie sich in der Zwischenzeit als Maßstab für Cloud-Rechenzentren durchgesetzt. Cloud-Provider, die ihre Kompetenzen bezüglich der IT-Sicherheit und der Effizienz ihres Informationssicherheits-Managementsystems (ISMS) nachweisen wollen, lassen ihre Rechenzentren nach ISO/IEC 27001 zertifizieren. Für potentielle Kunden ist dies ein klares Signal, dass der Cloud-Provider notwendige Maßnahmen zur Einhaltung und ständigen Verbesserung der Informationssicherheit implementiert hat und in regelmäßigen Abständen überprüfen lässt.

„Skeptische Fragen zu Datensicherheit begleiten die aktuelle Diskussion um Chancen und Risiken beim Einstieg in Cloud Computing“, sagt Christian Ebert, Leiter Security, bei QSC in Köln. „Anbieter von Cloud-Services sollten zusammen mit ihren Kunden ein Paket optimal aufeinander abgestimmter Maßnahmen entwickeln und implementieren, um einen bestmöglichen Schutz der Daten zu gewährleisten.“

* PwC/IronMountain Juni 2014 http://www.ironmountain.de/news/2014/impr06182014.asp

QSC: ITK-Lösungen für den Mittelstand
Die QSC AG bietet mittelständischen Unternehmen umfassende ITK-Services aus einer Hand: von der Telefonie, Datenübertragung, Housing, Hosting bis zu IT-Outsourcing und IT-Consulting. Als SAP und Microsoft Partner verfügt die QSC AG zudem über Spezialwissen im Bereich der SAP- und Microsoft-Implementierung. Eigenentwickelte Cloud-Services für unterschiedlichste Anwendungen runden das Portfolio ab. Mit eigener hochmoderner Netzinfrastruktur sowie TÜV- und ISO-zertifizierten Rechenzentren in Deutschland zählt QSC zu den führenden mittelständischen Anbietern von ITK-Dienstleistungen in Deutschland. Das Unternehmen bietet sowohl maßgeschneiderte Lösungen für individuelle ITK-Anforderungen als auch ein modulares Produkt-Portfolio für kleinere Geschäftskunden und Vertriebspartner. QSC beschäftigt rund 1.800 Mitarbeiter und ist im TecDAX gelistet.

Weitere Informationen erhalten Sie bei

QSC AG
Dennis Knake
Unternehmenskommunikation
Mathias-Brüggen-Str. 55
50829 Köln
Tel.: 0221/669 – 8285
Fax: 0221/669 – 85285
E-Mail: presse@qsc.de

PR-COM
Sandra Hofer
Account Director
Nußbaumstraße 12
80336 München
Tel.: 089/59997-800
Fax: 089/59997-999
E-Mail: sandra.hofer@pr-com.de