Der Schlüssel zur Kundenakzeptanz und somit auch zum Markterfolg von SaaS-Anwendungen und Cloud-IT-Services ist neben der nachvollziehbaren Umsetzung von Sicherheitsmechanismen auch die Einhaltung gesetzlicher Rahmenbedingungen bei der Datenverarbeitung und Datenaufbewahrung (Compliance).
Was die Sicherheitsmechanismen angeht, können diese sowohl technologischer als auch organisatorischer Natur sein. Dabei konzentriert sich der Sicherungsbedarf grundsätzlich auf zwei unterschiedliche Bereiche:
- Die Strecke vom Endnutzer bis zur SaaS-Anwendung
- Den Bereich innerhalb der Cloud, also zwischen SaaS-Anwendung und den einzelnen virtualisierten Service-Instanzen in der Cloud
Verschlüsselungstechniken und wechselseitige Authentifizierung sind Beispiele für naheliegende technische Lösungen in beiden Bereichen. Technik allein hilft aber noch nicht, den Kunden von der Sicherheit eines Dienstes zu überzeugen. Eine Zertifizierung, beispielsweise nach ISO27001, und die Umsetzung Richtlinien entsprechender Prozesse ist ein erster möglicher Schritt in Richtung Marktakzeptanz. Die vertragliche Zusicherung von Sicherheitsstandards über Service-Level-Agreements (SLA) und die Überwachung der Dienstgüte, auch und vor allem im Sicherheitsbereich, stellt einen weiteren sinnvollen Schritt dar.
Wo die Zurückhaltung der Kunden dennoch zu groß ist, helfen möglicherweise Risiko-Versicherungen und entsprechende Haftungszusagen durch den Anbieter. Die Fraunhofer-Allianz Cloud Computing berät Sie gerne zu Fragen der Sicherheit von Software-as-a-Service und Cloud-Lösungen.
Die Fraunhofer-Allianz Cloud Computing bietet Ihnen neben der Beratung zu technischen und organisatorischen Fragestellungen auch Unterstützung bei der Einhaltung von Compliance Anforderungen.
Wir bieten Ihnen:
- Strategische Beratung von Unternehmen für Governance, Risk and Compliance (GRC) beim Angebot von Cloud Computing
- Unterstützung bei der Konzeption und Umsetzung von IT-Sicherheitskonzepten für Cloud Integration und Nutzung
- Automatisierte Sicherheitsanalysen von Cloud IT-Architekturen auf der Basis von UMLsec
- Transparente Darstellung von IT-Sicherheitslevels für Kunden des Cloud Angebots im Rahmen von automatisierten Audits
- Konzeption, Auswahl und Aufbau von geschäftsprozessbasierten Risikomanagementlösungen mit der Einbindung von Cloud Services
- Begleitung der Zertifizierung nach ISO27001
- Unterstützung bei der Analyse und Erstellung von Service-Level-Agreements
- Systematische Ermittlung von Risiken und Missbrauchsszenarien in Dienstinfrastrukturen (u.a. Schutzbedarfsanalyse, Abuse-Case-Modellierung, Threat-Modelling)
- Realisierung und Einführung von Monitoring-Konzepten zur vertikalen Überwachung von Cloud-Infrastrukturen
- Durchführung nahtloser Migration von Ressourcen zwischen Cloud-Ökosystemen mittels Cloud-Roaming
- Umsetzung konkreter Crypto-Algorithmen zur Absicherung von Dienstinfrastrukturen