Sicher in die Cloud – wie, das geht?

27. Juni 2018

Wenn es um das Thema Cloud im Enterprise-Umfeld geht, spürt man seit einiger Zeit Aufbruchsstimmung. Die IDC hat zum Beispiel in Ihrer Studie Cloud Computing in Deutschland 2017 eine Verdreifachung der Public-Cloud-Ausgaben in Deutschland innerhalb von fünf Jahren prognostiziert. Fachbereichsleiter möchten sich nicht mehr mit technischen, betrieblichen und finanziellen Nachteilen von On-Premises Installation herumschlagen müssen. Junge, an die Cloud gewöhnte, neue Mitarbeiter kommen in Unternehmen und fordern von der IT den Ersatz von Hardware und Software durch SaaS-basierte Angebote, die Probleme meist besser, schneller und zuverlässiger lösen als zuvor.

Die Entscheider machen es sich aber nicht leicht. Einerseits möchten sie die signifikanten Vorteile der Cloud nutzen, wodurch auch die generelle Akzeptanz der Cloud-Lösungen sehr stark wächst. Andererseits ist die Informationssicherheit ein zentraler Punkt an dem die Entscheidung „Ja zur Cloud“ noch allzu oft scheitert.

Immer wieder hört man von Datenlecks, Verfügbarkeitsproblemen oder von Betreiberpleiten. Und sicherheitsrelevante Vorfälle können selbst eingesessene Marken nachhaltig schädigen. Negative Neuigkeiten brennen sich deshalb ins Gedächtnis der Verantwortlichen ein, und wichtige digitale Innovation wird quasi im Keim erstickt.

Widerstand nimmt ab, Sicherheitsbedenken nehmen zu

Die Wirtschaftsprüfungskanzlei KPMG hat gemeinsam mit bitkom Research im neuen Cloud Monitor 2018 neueste Untersuchungsergebnisse zum Thema Cloud und Sicherheit veröffentlicht. So setzen zwar bereits 66 % der Unternehmen in Deutschland auf Cloud-Computing, die Akzeptanz von Cloud-Lösungen steigt also kontinuierlich an. Es gibt aber wesentliche Indikatoren, die auf die Problematik in Punkto Informationssicherheit hinweisen:

  • 63 % der Nicht-Nutzer fürchten den unberechtigten Zugriff auf sensible Unternehmensdaten
  • 56 % der Nicht-Nutzer fürchten den Verlust von Daten
  • 46 % der Nutzer haben Probleme mit der Verfügbarkeit der Lösungsanbieter
  • 28 % der Nutzer haben Schwierigkeiten bei der Umsetzung der Compliance-Anforderungen
  • 27 % der Nutzer haben Schwierigkeiten bei der Umsetzung der Sicherheits-Anforderungen

Cloud Monitor 2018 – Auswertung zu Vorfällen in Hinblick auf die Datensicherheit von Public Cloud-Lösungen

Die Innovationsblockade lösen

Doch wie können Lösungsanbieter helfen, diese Innovationsblockade zu lösen, die sich durch Sicherheitsbedenken ergibt? Eine Antwort lautet: Die Anbieter müssen sich das Vertrauen ihrer Kunden erarbeiten. Der Kunde muss sich darauf verlassen können, dass das Thema Sicherheit in all seinen Varianten und Aspekten, von der Vertraulichkeit und Integrität der Daten bis über die Verfügbarkeit der Systeme, verstanden und auf höchstem Niveau umgesetzt wird.

Damit wird das Sicherheitsrisiko für den Kunden auf ein vertretbares Maß reduziert, und die Entscheidung „Pro Cloud“ kann endlich getroffen werden.

Die Sichtweise ist entscheidend

Es ist für die Anbieter cloudbasierter Lösungen entscheidend, eine ganzheitliche Sichtweise auf das Thema Informationssicherheit zu verfolgen. Das Marketing-Argument „Gehostet in einem sicherheitszertifizierten Rechenzentrum“ kann schnell in die Irre führen. Die reine Betrachtung der Infrastruktur-Sicherheit, ohne Berücksichtigung der Anbieter- und Organisationssicherheit, reicht – obwohl für den Anbieter sehr günstig und komfortabel – nicht einmal annähernd aus. Echte Sicherheit entsteht nur im Zusammenspiel der Menschen mit der Technik, unter Berücksichtigung aller beteiligten Organisationen.


Die Grundwerte der Informationssicherheit

Um die drei Grundwerte der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – umzusetzen, müssen Lösungsanbieter neben technischen Maßnahmen auch organisatorische Rahmenbedingungen erfüllen: im eigenen Unternehmen, falls zutreffend in Zulieferunternehmen und auch auf Ebene der Cloud-Infrastruktur.

Den richtigen Lösungsanbieter erkennen

Aus Sicht des Kunden stellt sich die Frage: „Wie finde ich den für mich richtigen Anbieter und woran erkenne ich, dass ich ihm vertrauen kann?“. Schließlich hat man als Kunde, wenn überhaupt, nur begrenzte Einsicht in die Organisation des Betreibers.

Es gibt eine seriöse Antwort.

Lösungsanbieter können sich freiwillig strengen Prüfprozessen unterwerfen, sogenannten Zertifizierungsverfahren. Dabei überprüfen externe unabhängige Auditoren das Unternehmen in der benötigten ganzheitlichen Sichtweise. Nach erfolgreicher Prüfung wird das Zeugnis der Prüfung ausgestellt, ein Zertifikat bzw. Testat mit Prüfsiegel. Dieses ist bis zum nächsten Prüftermin gültig. Der Kunde kann Anbieter mittels der Prüfsiegel schnell und einfach einschätzen und dann Entscheidungen treffen.


Der ISO 9001 PDCA
(Plan-Do-Check-Act) Zyklus

Für die Lösungsanbieter sind diese Prüfungen zugegebenermaßen sehr aufwändig – trotzdem sind diese gerade im Umfeld von der ständig steigenden Bedrohung durch Cyberattacken zum Wohle der Sicherheit und des Vertrauens der Benutzer in die Cloud unabdingbar.

Unser Beitrag

Als Business Unit Executive bei Fabasoft, zuständig für unsere cloudbasierte Enterprise Digital-Asset-Management Lösung Fabasoft DAM, bin ich stolz darauf, dass bei Fabasoft Sicherheit wirklich ernst genommen wird. Die Fabasoft Cloud, und damit auch Fabasoft DAM, zählt zu den sichersten Cloud-Lösungen, die derzeit verfügbar sind. Zahlreiche unabhängige Zertifizierungen bestätigen das. Wir validieren unsere Prozesse und Abläufe in wiederkehrenden Abständen, arbeiten und verbessern uns kontinuierlich.
 

Das ISO/IEC 9001, 20000, 27001 & 27018 Siegel

So halten wir beispielsweise seit Jahren sowohl das ISO/IEC 9001, das ISO/IEC 27000, das ISO/IEC 27018 als auch das ISO/IEC 20000 Zertifikat und lassen uns regelmäßig rezertifizieren. Diese ISO Zertifizierungen bedeuten für Kunden die Einhaltung von klar definierten organisatorischen, technischen und sicherheitsbezogenen Standards im Unternehmen, sowie auch in unserem IT-Service-Management.
 

Das Siegel zum BSI C5 Testat

Weil die allgemeinen ISO-Normen zwar viel über die Organisation selbst aussagen, aber nicht auf Cloud-Angebote spezialisiert sind, gehen wir noch einen Schritt weiter. Um das Vertrauen, die technische Stabilität sowie das Bewusstsein über unser Sicherheitssystem zu verstärken, haben wir zusätzlich die 114 technischen und organisatorischen Anforderungen des C5-Katalogs des deutschen BSI erfüllt. Seit 2017 hält Fabasoft als bislang einziges europäisches Unternehmen das anspruchsvolle BSI C5-Testat, weltweit gibt es nur sechs C5-zertifizierte Unternehmen.
 

Das EuroCloud Europe Siegel

Die konsequenten Bemühungen von Fabasoft um Datenschutz und -sicherheit hat auch die unabhängige Non-Profit-Organisation EuroCloud Europe bestätigt. Schon im Jahr 2016 erhielten wir mit 5 Sternen die höchste Auszeichnung, die Fabasoft Cloud wurde damals zur „sichersten Cloud der Welt” gekürt. Dank unserer existierenden Sicherheitsstandards wurden wir im Juni 2018 als bislang einziger Cloud-Anbieter abermals mit 5 Sternen rezertifiziert. Für unsere Nutzer hat diese Zertifizierung die Bedeutung einer Versicherungspolice gegen Datenmissbrauch. Das Besondere daran: bei der Überprüfung wird die gesamte Wertschöpfungskette ins Visier genommen.

All diese Zertifikate und Maßnahmen (welche Zertifikate und Testate Fabasoft sonst noch hält, lesen Sie hier) leisten einen Beitrag dazu, dass unsere Kunden Vertrauen in die Zuverlässigkeit und Sicherheit von Cloud-Lösungen aufbauen können. Ein Mehrwert für beide Seiten!

PS: Fabasoft DAM ist DIE hochsichere und benutzerfreundliche Enterprise Digital-Asset-Management Lösung in der Cloud. Wenn Sie in Ihrem Digital-Asset-Management also wirklich sicher gehen wollen, testen Sie uns jetzt!

 

Fabasoft DAM - jetzt kostenlos testen!

 

Digitale Inhalte wie Bild, Video, Audio oder Text stehen heute im Zentrum der Kommunikationsaktivitäten jeder erfolgreichen Marke. Lesen Sie meinen nächsten Blog-Artikel und finden Sie heraus wie Sie mit Digital-Asset-Management (DAM) Ihren wertvollen Content möglichst effizient und auf höchstem Niveau nutzen können: Digital Asset Management — Brauchen Sie das wirklich?