Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil 2 - Cloud-spezifische Risiken

Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten

Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im nächsten Teil).

Kontroll-ID

Kontrollziel

Maßnahme

Kontrollaktivität

Typ

15

Die Intransparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten werden minimiert.

Vertragliche Regelungen zur Durchführung von Kontrollen

1. Sichtung der vertraglichen Regelungen im Hinblick auf die Durchführung von Kontrollen

2. Durchführung eigener Audits beim Dienstleister oder Nachweise durch Zertifizierungen

m, p

 

 

 

m, d

Zuständigkeit:

Anbieter

Anwender

 

x

x

Tabelle 16: Kontrolle 15 Durchführung von Kontrollen
Quelle: Eigene Darstellung

 

Vervielfältigung und Verteilung der Daten

Die Vervielfältigung und Verteilung von Daten sollte vertraglich vereinbart werden. Der Ort der Leistungserbringung sowie die Beteiligung von Subunternehmern oder anderer Dritter sollte festgehalten werden.

Kontroll-ID

Kontrollziel

Maßnahme

Kontrollaktivität

Typ

16

Daten werden nicht ungewünscht vervielfältigt oder verteilt.

Vertragliche Regelungen zu Ort und Beteiligungen an Leistungserbringung

Sichtung der vertraglichen Regelungen im Hinblick auf den Ort der Leistungserbringung sowie Beteiligungen

 

m, p

Zuständigkeit:

Anbieter

Anwender

 

x

x

Tabelle 17: Kontrolle 16 Vervielfältigung und Verteilung der Daten
Quelle: Eigene Darstellung

 

Verfügbarkeit von Diensten

In Verträgen mit Cloud-Anbietern werden Verfügbarkeiten für die bereitgestellten Dienste vereinbart. Die Einhaltung dieser Vereinbarungen kann mittels der Durchführung von Kontrollen überprüft werden (siehe Kontroll-ID 14).

Im Fall eines Ausfalls von Services oder anderen Problemen ist es wichtig, dass es ein geregeltes Verfahren zum Umgang mit solchen Störungen (Incidents) gibt.

Dies wird vertraglich mit dem Cloud-Anbieter vereinbart.

Kontroll-ID

Kontrollziel

Maßnahme

Kontrollaktivität

Typ

17

Im Fall von Problemen existiert ein einheitliches Vorgehen zur Behandlung von Incidents.

Einrichtung eines Incident-Managements

1. Sichtung der Vertragsinhalte bezüglich Regelungen zur Behandlung von Incidents

2. Überprüfung, ob das Incident Management korrekt erfolgt oder Nachweis über eine Zertifizierung

m, p

 

 

m/a, d

Zuständigkeit:

Anbieter

Anwender

 

x

 

Tabelle 18: Kontrolle 17 Incident Management
Quelle: Eigene Darstellung

 

Komplexität der IT-Landschaft

Die Komplexität der IT-Landschaft in einer Cloud-Umgebung macht ein umfassendes Sicherheitsmanagement notwendig. Dabei ist jedoch eine detaillierte Risikoanalyse auf Prozessebene notwendig, um spezielle Risiken, die z.B. aus der Nutzung von mobilen Endgeräten entstehen, zu identifizieren.

 

Abhängigkeit vom Cloud Anbieter

Um eine Abhängigkeit vom Cloud-Anbieter zu vermeiden und den Wechsel zu einem anderen Anbieter zu ermöglichen, ist es notwendig, über eine angemessene Cloud-Nutzungs-Strategie zu verfügen (siehe Kontroll-ID 1). Auch ist es sinnvoll, bereits im Rahmen der Erstellung der Cloud-Nutzungs-Strategie Alternativen unter den Anbietern im Blick zu haben, um so einen „Vendor-Lock-in“ zu vermeiden.

 

Ungewissheit über rechtliche Rahmenbedingungen

Aktuell existieren in Bezug auf Cloud Computing noch einige rechtliche Unklarheiten. Ein Unternehmen kann diesen lediglich in der Form Rechnung tragen, dass es sich über die aktuellen rechtlichen Bestimmungen informiert, sich der Unklarheiten bewusst ist und sich regelmäßig mit der aktuellen Rechtsprechung im Bereich des Cloud Computing befasst.

 

Know-How-Verlust

Ein Know-How-Verlust lässt sich nicht mittels Kontrollen verhindern. Ob ein Know-How-Verlust vorliegt und ob dieser bewusst angegangen werden soll, ist von der Entscheidung des jeweiligen Unternehmens abhängig und im konkreten Fall kritisch zu hinterfragen.

 

Gefahr der Profilbildung und Weitergabe von Daten

Der Gefahr einer Profilbildung und Weitergabe von Daten kann durch eine Verschlüsselung, sowohl bei der Übertragung, als auch bei der Speicherung, entgegengewirkt werden (siehe Kontroll-ID 3 und 13).

Darüber hinaus sollte die Weitergabe von Daten vertraglich geregelt sein (siehe Kontroll-ID 15; mehr dazu auch im nächsten Teil).

 

Lesen Sie demnächst Teil 5c unserer Reihe: "Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil 3 - Compliance"

Zurück zu Teil 5a: "Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil 1 - Allgemeine Risiken"

Zurück zu Teil 4: "Welche Risiken bringt die Nutzung von Cloud Computing für Unternehmen mit sich?"

Zurück zu Teil 3: "Rechtliche Aspekte beim Cloud Computing"

Zurück zu Teil 2: "Welche Vorteile kann die Nutzung von Cloud Computing für Unternehmen mit sich bringen?"

Zurück zu Teil 1: "Cloud Computing, seine Betriebsformen und Servicemodelle - eine Einführung"