Cloud-Security widmet sich der Sicherung von Cloud-Computing-Systemen. Als Fachgebiet der Cyber-Sicherheit umfasst dies eine Vielzahl von Einzelmaßnahmen. Sie sollen vor Risiken wie Datenverlust, unrechtmäßigem Zugriff und dem Ausfall der Cloud-Services schützen. Zusätzlich gewährleistet Cloud-Security auch die Einhaltung der gesetzlichen Datenschutzbestimmungen. Was Sie dazu wissen müssen, lesen Sie hier.
Nach Angaben des Branchenverbands Bitkom nutzen im vergangenen Jahr 84 Prozent aller deutschen Unternehmen Cloud-Services. Cloud-Sicherheit ist ein großes IT-Thema und zentrale Disziplin der IT-Sicherheit. Ergänzend zum Beitrag bietet das Whitepaper „Cloud Security“ von Vodafone viel Wissenswertes zur Cloud Security in Betrieben.
Was ist Cloud-Security?
Beim Thema Cloud-Sicherheit denken viele Nutzer:innen zuerst an die Datensicherheit in der Cloud. Doch zur Cloud-Sicherheit (oder englisch: Cloud-Security) gehört mehr. Cloud-Sicherheit umfasst Verfahren und Technologien zur Abwehr externer und interner Bedrohungen der Unternehmenssicherheit. Sie wird durch ein breites Spektrum von Richtlinien, Technologien, Anwendungen und Kontrollprozessen erreicht.
Die Maßnahmen dienen dabei alle dem Schutz von Daten, Anwendungen, Diensten (Cloud-Services) und der Infrastruktur innerhalb des Cloud-Computings. Einige der wichtigsten Punkte einer funktionierenden Cloud-Security sind:
- 24/7-Verfügbarkeit: Der Zugriff auf Unternehmensdaten muss rund um die Uhr gewährleistet sein. Eine sichere Cloud bedeutet auch die Ausfall-Sicherheit aller beteiligten Systeme und Netze.
- Zugangskontrolle: Strukturierte Nutzer-Hierarchien regeln jederzeit, wer Zugriff auf welche Daten hat. Welche Daten können Mitarbeiter:innen, Kund:innen und Geschäftspartner:innen einsehen? Auf welche sensiblen, sicherheitsrelevanten Daten und Prozesse kann ausschließlich die IT oder die Geschäftsführung zugreifen? Gibt es persönliche Daten von Kund:innen oder Mitarbeiter:innen, die gemäß DSGVO nur einem bestimmten Nutzerkreis offenstehen?
- Cyber-Sicherheit: Cloud-Security bedeutet auch Schutz gegen Veränderung und Sabotage. Das umfasst das Einbringen von Schadsoftware wie Würmern oder Viren ebenso wie die räuberische Verschlüsselung von Daten, um „Lösegeld“ zu fordern (Ransomware). Aber auch die unbemerkte und gezielte Kompromittierung von Unternehmensdaten kann hier Thema sein. Dabei gewährleisten Services wie Cloud Application Security die entsprechende Applikationssicherheit.
- Rechtliche Aspekte am Standort: Sicherheit ist immer auch im Kontext des physischen Daten-Standortes zu sehen. Es ist stets zu prüfen, ob die jeweils gewählte Cloud den örtlichen Datenschutz-Gesetzen und -verordnungen entspricht. So kann etwa das Archivieren von bestimmten personenbezogenen Daten in einem Land legal, in einem anderen hingegen verboten sein. Auch der Einsatz von Verschlüsselungsverfahren ist nicht in allen Ländern erlaubt beziehungsweise je nach Einsatzzweck reguliert.
- Abhörsicherheit: Bei der Wahl eines Cloud-Anbieters sollte unbedingt darauf geachtet werden, ob der Anbieter auch Serverstandorte außerhalb der EU beziehungsweise in den USA besitzt. Existieren Cloud-Server in den USA, so erhält die US-Regierung durch den CLOUD Act auf Anfrage Zugang zu gespeicherten Daten in der Cloud. Die Weitergabe von personenbezogenen Daten an US-Behörden im Rahmen des CLOUD Act widerspricht den Regelungen, wie sie in der DSGVO (Datenschutz-Grundverordnung) festgelegt sind. Dies kann für Unternehmen zu Problemen führen, da nach Artikel 82 der DSGVO das Recht besteht, in so einem Fall gegen den Verantwortlichen sowie Auftragsdatenverarbeiter vorzugehen. Die Wahl eines Cloud-Anbieters ist daher immer eng mit dem Datenschutzbeauftragten des Unternehmens abzustimmen.
Die Instrumente der Cloud-Security dienen in erster Linie zur Absicherung der gespeicherten Daten und Anwendungen sowie der Cloud-Umgebungen an sich. Auch der lokale Arbeitsplatz zum Zugriff auf die Cloud sowie alle mit der Cloud-Architektur in Verbindung stehenden IT-Komponenten sind daher zu schützen.
Die in der Cloud abgelegten Daten befinden sich häufig nicht im direkten Einflussbereich der Dateneigentümer:innen. Public- oder Hybrid-Cloud-Lösungen sind im Unterschied zu reinen Private-Cloud-Lösungen zudem über das öffentliche Internet erreichbar.
Wie sicher ist die Cloud? Die Risiken im Zusammenhang mit Cloud Services
Um herauszufinden, wie sicher die Nutzung von Cloud-Diensten (oder englisch: Cloud-Services) ist und welche Form der Cloud-Security sich für Ihr Unternehmen eignet, sollten Sie die verschiedenen Arten von Cloud-Services kennen. Dies umfasst sowohl die Frage der Zugänglichkeit von Daten aus dem öffentlichen oder privaten Raum, als auch die Eigentumsverhältnisse in Bezug auf die bereitgestellte Cloud-Umgebung und deren Komponenten.
Dabei stellt sich die Frage, wie sicher Cloud-Dienste sind. Grundsätzlich ist ein Cloud-Service immer die Leistung eines externen Anbieters. Dieser stellt Ihrem Unternehmen die Infrastruktur zur Verfügung, um darauf Ihre Daten und Programme zu hosten. Dies umfasst neben der Netzwerkinfrastruktur unter anderem Datenserver und -speicher sowie Frameworks zur Virtualisierung von Computer-Eigenschaften.
Vorteil: Durch einen Cloud-Service entfallen für Ihr Unternehmen teure Investitionen in Hardware und Netzwerkinfrastruktur sowie laufende Kosten für regelmäßige Upgrades bzw. Updates und Personalkosten für Wartung.
Bei den Cloud-Services gibt es drei unterschiedliche Typen:
1. Beim Modell Software-as-a-Service (SaaS) können Sie Anwendungen nutzen, die auf den Servern eines externen Anbieters laufen. Dieser verwaltet neben den Anwendungen auch die zugehörigen Daten, Applikationen und das Betriebssystem. Typische Beispiele für SaaS sind Microsoft 365, Google Workspace, Slack oder Cisco WebEx.
Besondere Sicherheitsrisiken durch SaaS sehen Sicherheitsexperten in der Komplexität und wachsende Zahl von Cloud-Anwendungen bei diesem Anwendungstyp. Die Bereiche Zugriffs- und Sicherheitskontrollen sowie Berechtigungen und Privilegien sind beim SaaS-Modell sehr anspruchsvoll und erfordern eine leistungsfähige IT-Administration.
2. Das Modell Platform-as-a-Service PaaS wiederum bietet Ihnen die Möglichkeit zur Entwicklung eigener Anwendungen. Dazu dienen „Sandbox-Bereiche” auf den Servern des Anbieters, in denen Sie eigene Anwendungen, Daten, Netzwerke und Berechtigungen speichern und verwalten können. Bekannte Beispiele dafür sind die Google App Engine und Microsoft Azure.
Ein besonderes Sicherheitsrisiko dieses Modells entsteht durch die Einbindung von Drittanbietern in die Netzwerkstrukturen. In erster Linie sind es hier mangelhaft geschützte APIs für den Datenaustausch, die Sicherheitslücken für PaaS-Anwendungen öffnen. Durch Einschränkung der API-Zugriffe sowie Steuerung der Datenzugriffe lässt sich dieses Risiko verringern.
3. Bei Infrastructure-as-a-Service (IaaS) stellen Cloud-Anbieter Hardware- und Netzwerkanbindung zur Verfügung, auf denen Sie nahezu ihre komplette EDV unterbringen können, inklusive der Betriebssysteme. Die Anbieter verwalten dabei lediglich den zentralen Cloud-Dienst, während Sie alle Anwendungen, Daten und Laufzeiten selbst administrieren. Für die Sicherheit von Software und Daten sind somit Sie und nicht die Anbieter zuständig. Beispiele für IaaS sind die Google Compute Engine (GCE) und Amazon Web Services (AWS).
Typische Sicherheitsrisiken entstehen hierbei durch die Verlagerung der Infrastruktur in die Cloud, was strukturelle Veränderungen mit sich bringt. So unterliegen beispielsweise Fehler beim Cloud-Dienst des Providers nicht mehr der Kontrolle des Unternehmens. Entsprechend wichtig ist es, angepasste Strategien für die Wiederherstellung im Notfall zu entwickeln.
Cloud-Infrastruktur und das Thema Sicherheit:
Die „Cloud Security Definition“ definiert alle Besonderheiten im Public-, Private- und Hybrid-Cloud-Umfeld. Unterschiedliche Cloud-Dienste decken dabei die individuellen Anwendungsszenarien ab. Folgendes sollten Sie bei der Auswahl hinsichtlich des Themas Cloud-Security berücksichtigen:
- Public-Cloud: Diese Form der Cloud ist über das Internet zugänglich. Die Services stehen bedarfsgerecht nicht einzelnen Organisationen, sondern allen registrierten Anwender:innen mit jeweils eigenen Workspaces zur Verfügung. In Public-Clouds können Sie Rechenleistung, Infrastruktur, Speicher oder Anwendungen mieten. Die Fixkosten sind für Sie je nach Leistungsumfang gut kalkulierbar. Investitionen in eigene Infrastruktur oder Software sind nicht notwendig. Beim Thema Cyber-Sicherheit sind Sie hier jedoch grundsätzlich auf die vertrauliche Behandlung der übermittelten Daten durch den Dienstanbieter und dessen Sicherheitsmechanismen angewiesen.
- Private-Cloud: Als Gegenstück zur Public-Cloud stellt dieser Cloud-Service seine Infrastruktur ausschließlich für eine einzelne Organisation zur Verfügung. Sie ist ohne entsprechende Zugangsdaten nicht über das Internet erreichbar und bietet damit mehr Kontrolle und Sicherheit. Die Private-Cloud kann auf eigenen oder externen Servern gehostet werden, für die je nach Modell unterschiedlich hohe Kosten anfallen. Eine Private-Cloud ist eine gute Lösung, wenn Sie strenge Datenschutzvorgaben erfüllen müssen.
- Hybrid-Cloud: Diese Cloud-Lösung vereint die Vorteile von Public- und Private-Cloud. So können Sie sensible Daten, die besonderen rechtlichen Bestimmungen unterliegen, im abgegrenzten Bereich der privaten Cloud speichern. Der öffentlich zugängliche Teil der Hybrid-Cloud integriert hingegen die unkritischen Geschäftsprozesse und -daten. Gewöhnlich administriert ein externer Dienstleister eine Hybrid-Cloud-Umgebung, sodass Sie kein Inhouse-Personal binden müssen. Diese Lösung gilt häufig als idealer Kompromiss zwischen Anbieterunabhängigkeit, Flexibilität und Sicherheitsaspekten.
- Multi-Cloud: Die Kombinationslösung mehrerer Cloud-Dienste versammelt unter dem Begriff Multi-Cloud nach eigenem Bedarf zusammengestellte Public- und Private-Clouds unter einem gemeinsamen Dach. Sie können so die Angebote verschiedener Cloud-Anbieter parallel nutzen und sind dabei nicht an einen einzelnen Provider gebunden. Innerhalb dieser Struktur können Sie Daten zwischen den verschiedenen Clouds verschieben und externen Partner:innen oder Kund:innen einfacher Zugriff gewähren. Auf diese Weise passen Sie die Services flexibel an Ihre Bedürfnisse an und bündeln sie in einer zentralen Managementkonsole.
ISO 27018 und BSI C5 als Sicherheitsstandards
Innerhalb dieser unterschiedlichen Cloud-Infrastrukturen sorgen Standards wie die ISO 27018 und der Kriterienkatalog C5 des BSI (Bundesamtes für Sicherheit in der Informationstechnik) für einheitliche und sichere Strukturen. Die ISO 27018 regelt den Umgang mit personenbezogenen Daten in einer Cloud. Der BSI-Kriterienkatalog C5 beschreibt die technischen und organisatorischen Maßnahmen zur Sicherheit in der Cloud.
Einfache Regeln für die Cloud-Sicherheit
Cloud-Datenschutz unterscheidet sich von den Anforderungen für herkömmlichen IT-Umgebungen in Unternehmen. Ein paar grundsätzliche Regeln und Tipps helfen dabei, sich in Sachen Cloud-Datenschutz zu orientieren:
Geteilte Verantwortung: Im Gegensatz zu privaten Rechenzentren ist in der Public-Cloud der Anbieter für die Datensicherheit verantwortlich.
Zugriffsmanagement: In heterogenen Umgebungen ist ein sicheres Zugriffsmanagement (IAM) entscheidend dafür, kritische Unternehmenssysteme vor unbefugtem Zugriff zu schützen.
Verschlüsselung: Ein wesentlicher Aspekt zum Schutz der Daten in einer Cloud ist eine effektive Verschlüsselung.
Endpunktsicherheit: Cloud-Dienste führen dazu, dass Zugriffe vermehrt über Browser und persönliche Geräte erfolgen. Diese entsprechend abzusichern, gehört zu den Aufgaben einer Cloud-Security.
Schulung und Qualifikation: Professioneller Umgang mit den Cloud-Anwendungen sowie eine Sensibilisierung für Anomalien und Malware-Gefahren sind die Basis einer funktionierenden Cloud-Sicherheit im Unternehmen.
Wie funktioniert Cloud-Security?
Mechanismen der sogenannten Cloud-Security sollen die Nutzung der Cloud absichern. Dabei stehen vier Bereiche im Mittelpunkt:
- Datenwiederherstellung bei Datenverlust
- Schutz vor Datendiebstahl
- Verhinderung von Datenlecks
- Sicherung bei Systemkompromittierung
Besondere Tools sollen für die Sicherheit der Cloud sorgen, indem sie den Zugang und die Sichtbarkeit der Daten regulieren. Während des Transfers sind VPNs (Virtuelle Private Netzwerke) für den Datenschutz zuständig – vor allem bei den Cloud-Modellen abseits der Public-Cloud.
Ergänzend kommen Steuerungsstrategien zur Prävention, Erkennung und Beseitigung von Bedrohungen für die Cloud hinzu. Diese beinhalten sowohl die internen Abwehrmechanismen einer Cloud-Umgebung als auch die besondere Schulung des Nutzerverhaltens. Daneben spielen die technischen Wiederherstellungsmaßnahmen im Falle eines Datenverlustes (Cloud-Disaster-Recovery) eine wichtige Rolle. Weitere Fail-Safe-Systeme garantieren einen unterbrechungsfreien Betrieb, überwachen Backups und sorgen für die Anleitung von Mitarbeiter:innen im Fall einer notwendigen Datenwiederherstellung.
Achtung: Bei der Planung einer Unternehmens-Cloud sollten Sie vor allem die Gesetzeslage prüfen. Der Schutz von Daten und Benutzerinformationen ist in vielen Staaten mittlerweile klar reguliert. Fallen die von Ihnen verarbeiteten Daten beispielsweise unter die Bestimmungen der Datenschutz-Grundverordnung (DSGVO), stellen Sie sicher, dass der von Ihnen gewählte Cloud-Anbieter für eine entsprechende Verwahrung und Verschlüsselung der Daten sorgt.
Die Rolle der Cloud Security Alliance (CSA)
Um die Sicherheit von Clouds zu überprüfen, entstand im Jahr 2008 die Cloud Security Alliance (CSA). Dabei handelt es sich um einen gemeinnützigen Zusammenschluss von global agierenden Unternehmen, der die Absicherung von Cloud-Umgebungen anhand von Best-Practice-Beispielen kontrolliert. Die Einhaltung und Entwicklung verbindlicher Sicherheitsstandards bei Cloud-Services sind ein wichtiges Ziel der CSA.
Durch die Schulung von Anwender:innen sowie die Beratung von Softwarefirmen sollen zusätzliches Know-How und Bewusstsein für die wichtigsten Aspekte der Cloud-Security vermittelt werden. Zu diesem Zweck bietet die CSA ein Toolkit an, was die Sicherheit von Public- und Private-Clouds überprüfen kann.
Was ist Security-as-a-Service?
Die Angebote der Cloud Security Alliance fallen bereits unter den Begriff „Security as a Service” (SECaaS). Durch diesen Service externer Dienstleister können Sie beispielsweise den Datenverkehr von und zu einer Cloud überwachen und analysieren. Des Weiteren können Sie so Malware-Analysen durchführen und den Datenabfluss nach Bedarf reglementieren. Interne Sicherheitsvorkehrungen können Sie auf diese Weise auch auf externe Cloud-Umgebungen anwenden.
Anbieter von SECaaS übernehmen sowohl die Implementierung als auch die Wartung von Sicherheitslösungen für die komplette Cloud-Umgebung von Unternehmen. Die Anbieter können unabhängig von der Errichtung der Cloud-Infrastruktur deren Administration übernehmen und Policies verwalten, was Ihnen zusätzlich Aufwand und somit Kosten spart.
Passende Cloud-Security-Lösungen für Unternehmen
Cloud-Security unterscheidet zwischen verschiedenen Sicherheitslösungen, die für unterschiedliche Unternehmensgrößen empfehlenswert sind:
- Hybride Cloud-Sicherheitslösungen: Die Verlagerung der EDV in eine Hybrid Cloud bringt für Unternehmen den Vorteil, die Vorzüge von Private und Public Cloud miteinander zu kombinieren. Für eine durchgängige Sicherheit aller Plattformen und Endgeräte, die mit der Cloud kommunizieren, sind verschiedene Maßnahmen notwendig. Bei Hybrid-Cloud-Lösungen verwendete Methoden können den Sicherheitsstandard für Unternehmen deutlich erhöhen. Dazu gehören zum Beispiel Mikrosegmentierung, die Vereinfachung von Sicherheitsrichtlinien auf Grundlage identitätsbasierter Lösungen sowie ein Echtzeit-Monitoring der Cloud-Umgebung durch spezialisierte externe Anbieter.
- Sicherheitslösungen für kleine und mittlere Unternehmen (KMU): Auch KMU nutzen immer häufiger Cloud-Computing, benötigen aber meist keine komplexe Cloud-Architektur. Für den besten Schutz sensibler Daten bietet die Private-Cloud eine gute Basis. Dort sollten Sie ausschließlich verschlüsselte Unternehmensdaten speichern. Gesetzesvorgaben und Compliance-Richtlinien können Sie auf diese Art gut und kostengünstig erfüllen. Die Cloud kann zudem ausschließlich für denjenigen Bereiche und Mitarbeiter:innen des Unternehmens zugänglich sein, die sie auch tatsächlich benötigen. In diesem Zusammenhang empfiehlt sich zudem die gewissenhafte Sicherung von Zugangsdaten zur Cloud auf Unternehmensrechnern und mobilen Endgeräten. Das beugt unbefugtem Zugriff auf die Cloud vor.
- Cloud-Sicherheitslösungen für große Unternehmen: Große, global agierende Unternehmen stehen vor besonderen Herausforderungen hinsichtlich der Sicherheit ihrer Cloud-Architektur. Sie benötigen häufig eine Public-Cloud für eine einheitliche Zugänglichkeit durch Geschäftspartner und Kund:innen, unterliegen gleichzeitig aber möglicherweise unterschiedlich strengen Richtlinien hinsichtlich des Datenschutzes (beispielsweise in der EU und den USA). Was bereits für KMU gilt, ist hier für multiple und komplexe Hybrid-Cloud-Lösungen in einer ganzheitlichen Sicherheitsstrategie zu erfassen. Dabei werden Cloud-Security-Standards und Richtlinien festgelegt, die von speziell geschulten IT-Mitarbeiter:innen entwickelt und umgesetzt werden. Alternativ lassen sich externe Expert:innen in den Prozess mit einbeziehen.
Warum ist Cloud-Sicherheit wichtig?
Die Speicherung geschäftlicher und privater Daten hat sich seit der Jahrtausendwende grundlegend gewandelt: Während Unternehmensdaten in der Vergangenheit nahezu ausschließlich lokal gespeichert wurden, befinden sie diese heute zu einem großen Teil in der Cloud.
So wandern immer mehr Daten jedweder Art in die Cloud. Doch mit der Ansammlung extrem vieler Daten an einem Ort oder bei einem Anbieter steigt die Gefahr von Angriffen und/oder massiver Datenverluste: Große Datenmengen sind für Cyberkriminelle attraktiver als kleine, fragmentierte Datenbestände. Aus diesem Grund suchen diese gezielt nach Schwachstellen in der Cloud-Architektur. Anbieter wie Anwender:innen stehen also gleichermaßen in der Pflicht, für die Sicherheit der Daten in der Cloud zu sorgen.
Heutige IT besteht gewöhnlich aus einer Kombination lokaler Komponenten (stationäre Rechner, Notebooks, Server usw.) sowie der IT einer Cloud-Umgebung (intern oder extern). Beide Architekturen sind meist miteinander verwoben und stehen in komplexen Verhältnissen zueinander – erst recht, wenn mehrere Cloud-Arten verknüpft werden.
Die IT-Security steht somit vor besonderen Herausforderungen, um die Sicherheit der Daten und den Schutz vor Angriffen zu gewährleisten. Folgende Sicherheitsvorkehrungen sollten dabei obligatorisch sein:
- Firewalls: Schirmen lokale Netzwerke sowie die Cloud „nach außen“ ab und sorgen für Barrieren innerhalb hybrider Architekturen.
- Antivirensoftware: Scannt nach Viren und beseitigt sie.
- Schutz vor Ransomware: Software zur Abwehr vor Schadprogrammen, die das System kapern und die Daten Ihrem Zugriff entziehen (Mal- und Ransomware).
- 2-Faktor-Authentifizierung: Zusätzlicher Identitätsnachweis von Nutzer:innen durch zwei voneinander unabhängige Prüfverfahren.
Welche Cloud ist DSGVO-konform? Gesetzliche Anforderungen an die Cloud-Sicherheit?
Um die Sicherheit einer Cloud zu gewährleisten, stehen Unternehmen bzw. Anwender:innen selbst in der Verantwortung, müssen aber einen Teil ihrer Handlungsmöglichkeiten an den Anbieter des Cloud-Services abgeben. Um Risiken im Rahmen der Corporate Governance zu minimieren und den dauerhaften Support für eine Cloud-Architektur zu garantieren, sind die Details der Datenverarbeitung in einem Data-Processing-Agreement (DPA) festgelegt. Dieses ist rechtlich bindend und beinhaltet Regularien wie die deutsche Datenschutz-Grundverordnung (DSGVO), den amerikanischen Health Insurance Portability and Accountability Act (HIPAA) oder den internationalen Payment Card Industry Data Security Standard (PCI DSS).
Nicht zu vernachlässigen ist in diesem Zusammenhang das „Recht auf Vergessenwerden”: Dieses liefert klare Vorgaben, wenn Kund:innen einen Cloud-Anbieter verlassen möchten. Das kann beispielsweise dann der Fall sein, wenn Ihr Unternehmen den Provider wechseln oder die in der Cloud gehosteten Daten in die eigene IT-Architektur übertragen möchte. Solch einen „Exit-Prozess” sollten Sie bereits vor dem Abschluss eines Vertrags mit einem Cloud-Anbieter vereinbaren. Darunter fallen unter anderem Garantien für die Löschung von Backups und Logs nach festgelegten Zeiträumen, aber auch das Recht auf die restlose und vollständige Löschung sämtlicher Daten.
Das Wichtigste zu Cloud-Security im Überblick
Wenn Sie in Ihrem Unternehmen die Vorteile einer Cloud nutzen möchten, sollten Sie im Rahmen Ihrer Cloud-Security-Überlegungen folgende Punkte beachten:
- Bedürfnisse: Was genau benötigt Ihr Unternehmen? Brauchen Sie lediglich das abgeschlossene System einer Private Cloud zu internen Zwecken oder sind Sie auf umfangreiche Public- oder Hybrid-Cloud-Lösungen zur Kundenkommunikation angewiesen?
- Verantwortung: Wie sind die Verantwortlichkeiten zwischen Ihrem Unternehmen als Kunden und dem Cloud-Anbieter aufgeteilt? Diese werden im CSA und gegebenenfalls in Service Level Agreements festgelegt.
- Sicherheit: Für die Cloud-Security sollte definiert sein, welche Sicherheitsstandards eingehalten werden und somit in die Cloud-Umgebung implementiert werden müssen. Passt diese zur bereits bestehenden Infrastruktur?
- Externe Expertise: Neben der Aufteilung der Zuständigkeiten zwischen der IT-Abteilung Ihres Unternehmens und dem Anbieter empfiehlt sich das Hinzuziehen von externen oder internen Expert:innen.
Quelle:
https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/cloud-security-alles-zum-thema-sicherheit-in-der-datenwolke/