{"id":1367,"date":"2022-06-24T19:06:00","date_gmt":"2022-06-24T19:06:00","guid":{"rendered":"https:\/\/sydecon.de\/?p=1367"},"modified":"2022-06-24T19:06:04","modified_gmt":"2022-06-24T19:06:04","slug":"compliance-prozesse-durch-die-cloud-steuern","status":"publish","type":"post","link":"https:\/\/sydecon.de\/de\/compliance-prozesse-durch-die-cloud-steuern\/","title":{"rendered":"Compliance-Prozesse durch die Cloud steuern"},"content":{"rendered":"\n<p>Die Sicherheit von Daten, Systemen und Informationen muss organisatorisch und technisch f\u00fcr Hardware, Software und die zugrunde liegende Infrastruktur sichergestellt werden. Dazu existieren regulatorische Anforderungen und Standards, deren Einhaltung \u00fcberwacht werden muss. Betrachtet man zun\u00e4chst die einfache On-Premises-Bereitstellung, so wird schnell klar, dass alle Sicherheits- und Schutzma\u00dfnahmen vom Unternehmen selbst getroffen, koordiniert, umgesetzt, \u00fcberwacht und fortlaufend gem\u00e4\u00df der Bedrohungslage und dem Stand der Technik aktualisiert werden m\u00fcssen. Besonders f\u00fcr kleinere und mittelst\u00e4ndische Unternehmen stellt dies eine gro\u00dfe finanzielle und organisatorische Herausforderung dar. Wie w\u00fcrde sich die Nutzung eines der drei g\u00e4ngigen Cloud-Modelle f\u00fcr ein Unternehmen bezahlt machen?<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"das-iaas-modell\"><strong>Das IaaS-Modell<\/strong><\/h2>\n\n\n\n<p>Mit dem IaaS-Modell delegiert ein Unternehmen die Aufgabe der Bereitstellung einer sicheren, zertifizierten und sich auf dem Stand der Technik befindlichen Datencenter-, Server-, Netzwerk- und Hostinfrastruktur an einen Cloud-Anbieter. Die Einhaltung von Normen, Regularien und Standards zum Betrieb des Rechenzentrums, der Server und der Netzwerkanbindung wird also vom Cloud-Anbieter \u00fcbernommen. Notwendige Aktualisierungen werden vom Cloud-Anbieter durchgef\u00fchrt, ohne dass auf Kundenseite beispielsweise neue Hardware angeschafft oder neues Sicherheitspersonal eingestellt oder geschult werden muss. Auch bei Datenwiederherstellung und Notfallmanagement profitiert der Cloud-Kunde von der Infrastruktur des Anbieters. Viele Cloud-Anbieter bieten hier mehrere Optionen an, etwa die lokale redundante oder die georedundante Speicherung von Daten in Datencentern in verschiedenen Regionen. Da der im Wettbewerb mit Konkurrenten stehende Cloud-Anbieter selbst ein gro\u00dfes Interesse daran hat, sich nach etablierten Sicherheitsstandards zertifizieren zu lassen, profitiert der Cloud-Kunde zudem von der fortlaufend \u00fcberpr\u00fcften Einhaltung g\u00e4ngiger und hoher Sicherheitsstandards durch den Cloud-Anbieter.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"das-iaas-modell\"><strong>Das PaaS-Modell<\/strong><\/h2>\n\n\n\n<p>Beim PaaS-Modell werden neben der Infrastruktur auch die Sicherheit der f\u00fcr den Betrieb einer Plattform notwendigen Software \u2013 etwa Betriebssysteme und Datenbanksysteme \u2013 durch den Cloud-Anbieter bereitgestellt. Hierdurch werden Umsetzung und \u00dcberpr\u00fcfung softwareseitiger Sicherheitsma\u00dfnahmen an den Cloud-Anbieter delegiert. Dies gilt etwa f\u00fcr die Umsetzung eines Identit\u00e4ts- und Zugriffsmanagements, die Bereitstellung sicherer Verschl\u00fcsselungsprotokolle und die Forcierung der Einhaltung guter Entwicklungspraktiken. Das PaaS-Modell erm\u00f6glicht einem Kunden also den Aufbau eigener Applikationen auf einer fortlaufend \u00fcberpr\u00fcften und vertrauensw\u00fcrdigen Infrastruktur- und Softwareplattform. Dadurch erhalten Entwickler auf Kundenseite eine standardisierte und fortlaufend \u00fcberwachte Basis f\u00fcr die Implementierung eigener Applikationen.<\/p>\n\n\n\n<p>Oft k\u00f6nnen PaaS-Kunden dabei bereits auf Sicherheitszertifizierungen des Anbieters aufbauen. Auf Plattformebene stellen viele Cloud-Anbieter zudem spezielle Tools und Dienste bereit, die dem Kunden die M\u00f6glichkeit geben, ein h\u00f6heres Ma\u00df an Sicherheit zu erzielen. Dazu z\u00e4hlen beispielsweise Tools zur Schwachstellenanalyse oder zur Analyse und Klassifizierung von Daten nach ihrem Schutzbedarf. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"das-iaas-modell\"><strong>Das SaaS-Modell<\/strong><\/h2>\n\n\n\n<p>Die Nutzung des SaaS-Modells bedeutet den weitreichendsten Transfer von Zust\u00e4ndigkeiten vom Cloud-Kunden zum Anbieter. Da die gesamte Anwendung vom Anbieter bereitgestellt wird, entf\u00e4llt auf Kundenseite sogar die Entwicklung der Applikation. Damit gehen weiter-f\u00fchrende Sicherheits- und Compliance-Kontrollen bez\u00fcglich der Software in den Aufgaben-bereich des Anbieters \u00fcber. Unter anderem z\u00e4hlen hierzu etwa die kostspielige \u00dcberpr\u00fcfung der Software auf Sicherheitsl\u00fccken sowie die Bereitstellung fortlaufender Aktualisierungen und Updates. Nutzer von SaaS-Anwendungen erreichen ein sehr hohes Ma\u00df an Flexibilit\u00e4t, da das Portfolio an IT-Diensten, welche \u00fcber SaaS bezogen wird, sehr einfach skaliert oder erg\u00e4nzt werden kann, ohne dass dabei weitere Investitionen in Infrastruktur, Entwicklung oder Zertifizierungen anfallen. Audits und Zertifizierungen, die sich direkt auf die Sicherheit der Hardware- und Softwarekomponenten beziehen, werden vom Cloud-Anbieter erbracht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Sicherheit von Daten, Systemen und Informationen muss organisatorisch und technisch f\u00fcr Hardware, Software und die zugrunde liegende Infrastruktur sichergestellt werden. Dazu existieren regulatorische Anforderungen und Standards, deren Einhaltung \u00fcberwacht werden muss.<\/p>\n","protected":false},"author":5,"featured_media":978,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14,17],"tags":[34,24,43,27,25],"class_list":["post-1367","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-mdm-enterprise-workflow","category-sydecon-timeline","tag-cloud-2","tag-cloud-computing-2","tag-cloud-service-modell","tag-compliance-2","tag-mdm-2"],"_links":{"self":[{"href":"https:\/\/sydecon.de\/de\/wp-json\/wp\/v2\/posts\/1367","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sydecon.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sydecon.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sydecon.de\/de\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/sydecon.de\/de\/wp-json\/wp\/v2\/comments?post=1367"}],"version-history":[{"count":0,"href":"https:\/\/sydecon.de\/de\/wp-json\/wp\/v2\/posts\/1367\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sydecon.de\/de\/wp-json\/wp\/v2\/media\/978"}],"wp:attachment":[{"href":"https:\/\/sydecon.de\/de\/wp-json\/wp\/v2\/media?parent=1367"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sydecon.de\/de\/wp-json\/wp\/v2\/categories?post=1367"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sydecon.de\/de\/wp-json\/wp\/v2\/tags?post=1367"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}