Bundesamt für Sicherheit in der Informationstechnik

M 2.534 Erstellung einer Cloud-Nutzungs-Strategie

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, Fachverantwortliche

Die Entscheidung einer Institution zur Nutzung von Cloud Services hat immer eine strategische Komponente, auch wenn der Umfang des Cloud Services gering ist. Letzteres kann dazu verleiten, die Konsequenzen dieses Outsourcings zu verkleinern oder zu verleugnen, zumal es in vielen Fällen der erste Fall von Outsourcing von IT-Dienstleistungen in der Institution ist. Oft unterscheidet sich IT-Outsourcing von Cloud-Nutzung im Umfang, in der Vertragsdauer sowie in der Art und Weise, wie die Dienste erbracht werden. Trotz allem ist die Nutzung von Cloud-Diensten immer ein Outsourcing (zumindest, wenn ein externer Dienstleister beauftragt wird) und somit strategischer Natur. Dies bedingt die ausführliche Betrachtung der wirtschaftlichen, technischen und organisatorischen Randbedingungen sowie der sicherheitsrelevanten Aspekte.

Die vorliegende Maßnahme wird dann umgesetzt, wenn sich eine Institution bereits grundsätzlich für die Nutzung von Cloud-Diensten entschieden hat. Darüber hinaus hat die Institution bereits konkrete Vorstellungen, welche Cloud-Dienste (zum Beispiel Online-Speicherdienst) genutzt werden sollen. Die abschließende Auswahl beziehungsweise Definition eines konkreten Cloud-Dienstes ist nicht Bestandteil dieser Maßnahme. Sie erfolgt erst im Anschluss an die Erarbeitung einer grundlegenden Cloud-Nutzungs-Strategie.

Die nachfolgend beschriebenen Gesichtspunkte sollten bei der Erstellung einer Cloud-Nutzungs-Strategie betrachtet und dokumentiert werden.

Einbindung in die Unternehmensstrategie

Es ist zu klären, wie die Institution strategisch mit dem Thema Cloud-Nutzung umgeht. Ausgehend von der grundsätzlichen Entscheidung für den Einsatz von Cloud-Diensten ist dabei festzuhalten, welcher Grad an Service-Orientierung angestrebt wird, also in welchem Umfang klassische IT durch Cloud Services abgelöst werden soll. Es ist zu erarbeiten, welche Services für eine Cloud-Nutzung grundsätzlich infrage kommen.

Es sollte unter anderem die Frage nach den Treibern für den Einsatz von Cloud Services beantwortet werden. Darüber hinaus sind die Ziele zu definieren, die die Institution mit der Cloud-Nutzung verbindet. Dies können beispielsweise Kosteneinsparungen, die Möglichkeit zu einer flexibleren Service-Erbringung, die Ablösung beziehungsweise der Ersatz bisheriger Services oder die Nutzung neuer Services sein.

Diese Ergebnisse sollten möglichst auch in die Unternehmensstrategie eingebunden werden.

Machbarkeitsstudie mit Zusammenstellung aller Rahmenbedingungen

Es gibt unterschiedliche äußere Faktoren, die Einfluss auf die Entscheidung zur Cloud-Nutzung nehmen können oder diese bedingen. Dies sind sowohl rechtliche Rahmenbedingungen (beispielsweise Vorgaben des Datenschutzes oder von Aufsichtsbehörden), organisatorische Rahmenbedingungen (beispielsweise Reife der Institution hinsichtlich Organisation und IT ) als auch technische Anforderungen, die sich aus der Nutzung von Cloud Services ergeben (beispielsweise Vorgaben bezüglich des benötigten Datennetzes, Leistungsfähigkeit der Internetanbindung, Verfügbarkeit der Netze und der IT -Systeme).

Die Ergebnisse dieser Untersuchung sind in einer Machbarkeitsstudie zu dokumentieren, die aussagt, ob der untersuchte Cloud-Dienst überhaupt zu verwenden ist.

Betriebswirtschaftliche Aspekte mit erster Kosten-Nutzen-Abschätzung

Da beim Cloud Computing oft finanzielle Einsparungen ein starker Treiber sind, stehen Kosten und Nutzen besonders im Fokus. Die Kosten-Nutzen-Abschätzung ergibt eine erste Indikation, ob durch die Nutzung eines Cloud-Dienstes wirtschaftliche Vorteile gezogen werden können.

Hier sind auf der Kostenseite nicht nur die reinen Betriebskosten des Cloud-Dienstes zu berücksichtigen, sondern auch die Kosten für die Migration, die Schulung der Mitarbeiter und Administratoren, gegebenenfalls neuer Hardware und Ausbau der Netzkapazitäten.

Da die Kosten-Nutzen-Abschätzung im Rahmen der Erstellung der Strategie angesetzt ist, soll die Institution auch den strategischen Wert der Ressourcen Know-how, Mitarbeiter, IT -Systeme und Anwendungen berücksichtigen. Denn diese Ressourcen können durch die Nutzung von Cloud Computing teilweise verloren gehen und nicht schnell wieder zurückgeholt werden. Auf der Nutzenseite stehen zum Beispiel obsolet gewordene Hardware mitsamt Lizenzen und Administration, bessere und schnellere Anpassung der IT an den tatsächlichen Bedarf, und gegebenenfalls können auch Sicherheitsgewinne auf der Nutzenseite verbucht werden.

Sobald der Cloud Service genauer definiert ist und erste konkrete Angebote einzelner Cloud-Diensteanbieter vorliegen, erfolgt eine detaillierte Kosten-Nutzen-Analyse (siehe M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbieters ).

Auswahl der Services und des Bereitstellungsmodells

Nach diesen strategischen Überlegungen sollte festgehalten werden, welche konkreten Dienste zukünftig von einem Cloud-Diensteanbieter bezogen werden könnten. Daneben ist auf der Basis der erhobenen Anforderungen zu entscheiden, welches Bereitstellungsmodell (zum Beispiel Private, Public, Hybrid Cloud) geeignet erscheint. Sowohl in der Literatur als auch im Zusammenhang mit der praktischen Umsetzung wird dieser Schritt häufig auch als Sourcing bezeichnet.

Berücksichtigung von Sicherheitsaspekten von Anfang an

Die Institution muss sicherstellen, dass grundlegende technische und organisatorische Sicherheitsaspekte bereits zu Beginn der Planungsmaßnahmen zur Cloud-Nutzung ausreichend berücksichtigt werden. Insbesondere ist auch zu klären, ob und inwieweit die Nutzung von Cloud Computing in der Sicherheitsleitlinie abgedeckt ist. Dabei sollten sich die Verantwortlichen innerhalb einer Institution insbesondere folgender Cloud-Spezifika bewusst sein:

  • Der Cloud-Diensteanbieter erhält je nach Cloud-Nutzungs-Modell Zugriff auf die Daten der beauftragenden Institution. Von diesem Zugriff können auch Daten mit hohem Schutzbedarf betroffen sein.
  • Die technische Umsetzung des Cloud-Nutzung-Vorhabens bedingt die Übertragung von Daten zwischen beauftragender Institution und dem Cloud-Diensteanbieter. Das sich daraus ergebende erhöhte Gefahrenpotenzial ist durch die Institution zu ermitteln und entsprechend zu bewerten.
  • Die Einführung von Cloud Services setzt den Entwurf, die Einführung und Umsetzung neuer Prozesse und Arbeitsabläufe voraus. Die Folgen der sich ergebenden notwendigen Umstellungen sind zu ermitteln und abzuschätzen.

Im Rahmen der Nutzung von Cloud Services sollten Vor- und Nachteile, die einen Bezug zur Informationssicherheit aufweisen, durch die Institution betrachtet, bewertet und dokumentiert werden.

Erstellen einer Sicherheitsanalyse

Zur Festlegung der Cloud-Strategie sollte eine individuelle Sicherheitsanalyse für den geplanten Cloud Service durchgeführt werden, die bei wesentlichen Veränderungen der technischen und organisatorischen Rahmenbedingungen zu wiederholen ist.

Nur so kann festgestellt werden, wie bestehende Geschäftsprozesse oder Informationsverbünde abgegrenzt und getrennt werden können, damit Teile davon als Cloud Service genutzt werden können. In dieser frühen Projektphase wird das Sicherheitskonzept naturgemäß nur Rahmenbedingungen beschreiben und keine detaillierten Maßnahmen enthalten. Die Sicherheitsanalyse sollte nach der in der IT -Grundschutz-Vorgehensweise beschriebenen Methodik durchgeführt werden.

Wenn der Schutzbedarf wichtiger Systeme oder Anwendungen hoch ist oder die Modellierung des Informationsverbunds nach IT -Grundschutz nicht möglich ist, muss eine ergänzende Sicherheitsanalyse (zum Beispiel Risikoanalyse) durchgeführt werden. Sind die sicherheitsrelevanten Gefährdungen analysiert worden, kann festgelegt werden, ob und wie diesen begegnet werden soll.

Zusätzlich weist sie bestehende Restrisiken im Zusammenhang mit der Cloud-Nutzung auf. Die Ergebnisse der Sicherheitsanalyse fließen in der Regel unmittelbar in die Kosten-Nutzen-Abschätzung ein, die nach der Sicherheitsanalyse gegebenenfalls wieder angepasst werden muss.

Erstellung einer Roadmap

Nachdem die strategischen und sicherheitsrelevanten Aspekte untersucht wurden, sollten erste Überlegungen hinsichtlich einer geeigneten technischen Realisierung erfolgen. Sofern die Einführung mehrerer Cloud Services durch die Institution geplant ist, hat es sich in der Praxis als hilfreich erwiesen, eine sogenannte Cloud Roadmap zu erstellen. Diese stellt einen Fahrplan zur Nutzung der Cloud Services dar und beschreibt deren Ausrollen mithilfe eines Phasenmodells. So kann die Akzeptanz der Cloud Services durch den Benutzer erhöht werden, während gleichzeitig das Risiko technischer Probleme bei der späteren Umsetzung gemindert wird.

Prüffragen:

  • Wurde eine Strategie für die Nutzung von Cloud Computing erstellt?

  • Wurden die rechtlichen und organisatorischen Rahmenbedingungen sowie die technischen Anforderungen, die sich aus der Nutzung von Cloud Services ergeben, untersucht?

  • Sind grundlegende technische und organisatorische Sicherheitsaspekte der Cloud-Nutzung betrachtet worden?

  • Ist eine individuelle Sicherheitsanalyse für geplante Cloud Services vorgesehen?

  • Ist festgehalten, welche Dienste in welchem Bereitstellungsmodell zukünftig durch einen Cloud-Diensteanbieter bezogen werden sollen?

  • Existiert eine Cloud Roadmap?

Stand: 14. EL Stand 2014