Cloud Computing wird von vielen potentiellen Nutzern als risikobehaftet empfunden, vor allen Dingen, was die Speicherung von Daten anbelangt. Diese Sicherheitsbedenken stellen derzeit einen Hauptgrund für die Zurückhaltung vieler Unternehmen gegenüber Cloud Computing dar1. Doch mit welchen Risiken wird ein Unternehmen konfrontiert, wenn es Cloud Computing nutzen möchte?
Allgemeine Risiken
Bei Cloud-Computing-Systemen handelt es sich grundsätzlich um komplexe verteilte Systeme, die zahlreiche Möglichkeiten für Fehlfunktionen, Angriffe, Ausfälle oder Bedienfelder bieten. Es kann daher prinzipiell von den gleichen Risiken ausgegangen werden, denen auch ein klassisches IT-System ausgesetzt ist. Diese umfassen z. B.2:
|
Risiko |
Erläuterung |
|
Versehentlich oder vorsätzlich falsches Handeln |
z.B. durch unberechtigte Kopien von Systemen oder Daten, Manipulation, Herunterfahren von Hosts, Änderung an Konfigurationseinstellungen sowie Löschung von Daten durch Mitarbeiter oder Subunternehmer des Cloud-Service-Providers. |
|
Nutzung von Sicherheitslücken beim Anbieter durch interne oder externe Angreifer |
z. B. durch Zugriff anderer Kunden auf das Dateisystem, unberechtigte Speicherzugriffe oder Denial-of-Service-Angriffe. Bei externen Angreifern z.B. durch Diebstahl von Daten oder Programmcodes oder die Manipulation oder Löschung von Daten, Accounts, Konfigurationseinstellungen usw.. Ein Denial-of-Service-Angriff (DoS-Angriff oder DoS-Attacke) bezeichnet einen Angriff von Hackern, bei dem ein oder mehrere Serverdienste überlastet werden. Ziel ist es, eine Webseite unzugänglich zu machen oder den Webserver zu einem Systemabsturz zu provozieren. |
|
Missbrauch der Plattform des Providers |
z.B. durch Brute-Force-Angriffe auf Passwörter, Botnetze oder Schadsoftware. Ein Brute-Force-Angriff wird oftmals zum Knacken von Passwörtern anwendet. Dies kann über Ausprobieren aller möglichen Buchstaben- oder Zahlenkombinationen erfolgen oder aber durch sogenannte Wörterbuchangriffe. Bei Wörterbuchangriffen wird davon ausgegangen, dass viele Benutzer bekannte Wörter als Passwort einsetzen. Es werden also Begriffe aus Wörterbüchern zur Passwortfindung verwendet. Bei einem Botnetz werden Rechner von Nutzern mit Schadsoftware bespielt, oftmals im Unwissen des Nutzers. Diese Schadsoftware stellt die Basis für massenhaften Spamversand dar. |
|
Nutzung von Sicherheitslücken auf den Übertragungswegen |
Bei der Übertragung via Internet zwischen Kunde und Anbieter z.B. durch Abhören des Datenverkehrs oder für Man-in-the-Middle-Angriffe sowie bei bereitgestellten Schnittstellen und APIs. Bei einem Man-in-the-Middle-Angriff klinkt sich ein Angreifer in den Datenverkehr zwischen Sender und Empfänger ein und manipuliert diesen. |
|
Sicherheitsmängel der technischen Infrastruktur |
Bedingt durch fehlende oder unzureichende Sicherheitskonzepte können Sicherheitsmängel in unterschiedlichen Bereichen der technischen Infrastruktur entstehen z.B. durch lückenhafte Zutrittskontrolle, missbräuchlicher Umgang mit Datensicherungen, mangelhafte Löschung defekter Speichermedien vor Austausch oder Aussonderung etc.. |
Tabelle 1: Allgemeine Risiken
Quelle: Eigene Darstellung
Cloud-spezifische Risiken
Neben den allgemeinen Risiken resultieren aus den Gegebenheiten des Cloud Computing weitere cloud-spezifische Risiken:
|
Risiko |
Erläuterung |
|
Fehlende Transparenz hinsichtlich der Datenhaltung |
In der Regel ist die physische Datenhaltung für den Kunden nicht überprüfbar, da diese in den Verantwortungsbereich des Providers fällt. So können unter anderem die ordnungsgemäße Löschung von Daten aber auch eine erfolgreiche vollständige Speicherung von Daten durch den Provider vom Auftraggeber nur schwer kontrolliert werden. Des Weiteren hat der Anwender keinen Einblick in die darunterliegende Infrastruktur. |
|
Mangelhafte Kontrollmöglichkeiten |
Kontrollen zur Datenverarbeitung können oftmals nur durch den Anbieter erfolgen und nicht durch den verantwortlichen Anwender. Die entsprechenden Protokolle und Dokumentationen liegen im Hoheitsgebiet des Anbieters, eine explizite Kontrollmöglichkeit des Anwenders muss vorgesehen sein oder auf die zur Verfügung gestellten Daten und Dokumente vertraut werden. Seitens der Anbieter gibt es hierbei festgesetzte Standards, wie entsprechende Informationen dem Anwender gegenüber zur Verfügung gestellt werden können. |
|
Vervielfältigung und Verteilung der Daten |
Für den Anwender ist es in der Regel nicht ersichtlich an welchem Ort ihre Daten verarbeitet werden. Eine solche Verarbeitung oder Speicherung kann auch verteilt erfolgen, besonders dann, wenn ein Cloud-Anbieter Teile seiner Ressourcen fremd bezieht3. |
|
Verfügbarkeit von Diensten |
Es existiert ein erhöhtes Risiko für die Verfügbarkeit von Diensten. Eine große Bedeutung hat dabei die Stabilität der Schnittstellen, da zahlreiche Dienste ineinander greifen. Bei Änderungen an einer Schnittstelle kann möglicherweise eine Reihe darauf aufbauender Dienste nicht mehr funktionsfähig sein. Dieses Risiko besteht auch beim Ausfall oder Wegfall von Diensten. Stellt ein Cloud-Anbieter den Betrieb eines Dienstes ein oder macht von einer Kündigung mit in der Regel recht kurzen Kündigungsfristen Gebrauch, ist es notwendig schnell einen gleichwertigen Ersatz zu finden. |
|
Komplexität der IT-Landschaft |
Durch den Einsatz von Cloud Computing als komplexe verteilte Systeme steigt die Komplexität einer IT-Landschaft an. Dadurch ist auch ein weitaus komplexeres IT-Sicherheitsmanagement vonnöten. Bisher vernachlässigte Aspekte, z.B. auf Sicherheitslücken in Browsern mobiler Endgeräte zu reagieren, spielen im Zuge von Cloud Computing eine wichtige Rolle4. |
|
Abhängigkeit vom Cloud-Anbieter |
Bei Outsourcing begibt sich ein Unternehmen, je nach Umfang des Projektes in eine mehr oder weniger starke Abhängigkeitsbeziehung zum Anbieter. Der Anwender ist auf die Zuverlässigkeit des Anbieters angewiesen. Werden die vereinbarten Leistungen nicht zuverlässig erbracht oder wird nicht angemessen mit den ausgelagerten Daten umgegangen, so ist zwar der Anbieter dafür verantwortlich, es hat jedoch ebenfalls Auswirkungen auf das anwendende Unternehmen. Darüber hinaus existiert das Risiko eines sogenannten „Vendor-Lock-in“. Wenn aus einer anwenderspezifischen Technologie resultiert, dass der Service nicht durch einen anderen Anbieter erbracht werden kann, birgt dies das Risiko einer „Erpressung“ durch den Anbieter. |
|
Ungewissheit über rechtliche Rahmenbedingungen |
Die rechtlichen Anforderungen beim Cloud Computing sind sehr komplex, in einigen Fällen gibt es darüber hinaus keine konkreten Rechtsprechungen. Dies birgt das Risiko nachträglicher Konsequenzen. So ist z.B. noch nicht hinreichend strafrechtlich geklärt, ob die Auslagerung von Daten an einen Auftragnehmer nach § 11 BDSG von einer Offenbarung eines Geheimnisses nach § 203 StGB betroffen ist. |
|
Know-How-Verlust |
Durch die Auslagerung von IT-Funktionen geht in einem Unternehmen das Know-how über die Bereitstellung dieser Funktionen verloren. Dies ist zwar in der Regel erwünscht, kann jedoch bei einem Zurückholen der Funktionen in das Unternehmen zu Problemen führen und dadurch ein Vendor-Lock-in verschärfen. |
|
Gefahr der Profilbildung und Weitergabe von Daten |
Gerade durch die On-Demand Nutzung werden beim Cloud Computing zum Zweck der Abrechnung einige Daten protokolliert. Dabei es ist nicht auszuschließen, dass ein Anbieter Nutzungsprofile erstellt. Auch Inhaltsdaten können eingesehen und ausgewertet werden. Eine unerlaubte Weitergabe an Dritte ist ebenfalls denkbar. |
Tabelle 2: Cloud-spezifische Risiken
Quelle: Eigene Darstellung
Zu Teil 5a unserer Reihe: "Auswirkungen auf das IKS beim Cloud Computing – Allgemeine Risiken"
Zurück zu Teil 3: "Rechtliche Aspekte beim Cloud Computing"
Zurück zu Teil 2: "Welche Vorteile kann die Nutzung von Cloud Computing für Unternehmen mit sich bringen?"
Zurück zu Teil 1: "Cloud Computing, seine Betriebsformen und Servicemodelle - eine Einführung"
Fußnotenindex:
1 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012 S.175.
2 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012 S.176.
3 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012 S.178.
4 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012 S.178.
Quelle:
[1] Haselmann, Till; Hoeren, Thomas; Vossen, (Cloud Computing für Unternehmen) Cloud Computing für Unternehmen. Technische, wirtschaftliche, rechtliche und organisatorische Aspekte, 1. Aufl., Heidelberg, 2012.