IKS

IKS-Internes Kontrollsystem

Welche Risiken bringt die Nutzung von Cloud Computing für Unternehmen mit sich?

Cloud Computing wird von vielen potentiellen Nutzern als risikobehaftet empfunden, vor allen Dingen, was die Speicherung von Daten anbelangt. Diese Sicherheitsbedenken stellen derzeit einen Hauptgrund für die Zurückhaltung vieler Unternehmen gegenüber Cloud Computing dar1. Doch mit welchen Risiken wird ein Unternehmen konfrontiert, wenn es Cloud Computing nutzen möchte?


Allgemeine Risiken

Bei Cloud-Computing-Systemen handelt es sich grundsätzlich um komplexe verteilte Systeme, die zahlreiche Möglichkeiten für Fehlfunktionen, Angriffe, Ausfälle oder Bedienfelder bieten. Es kann daher prinzipiell von den gleichen Risiken ausgegangen werden, denen auch ein klassisches IT-System ausgesetzt ist. Diese umfassen z. B.2:

Risiko

Erläuterung

Versehentlich oder vorsätzlich falsches Handeln

z.B. durch unberechtigte Kopien von Systemen oder Daten, Manipulation, Herunterfahren von Hosts, Änderung an Konfigurationseinstellungen sowie Löschung von Daten durch Mitarbeiter oder Subunternehmer des Cloud-Service-Providers.

Nutzung von Sicherheitslücken beim Anbieter durch interne oder externe Angreifer

z. B. durch Zugriff anderer Kunden auf das Dateisystem, unberechtigte Speicherzugriffe oder Denial-of-Service-Angriffe. Bei externen Angreifern z.B. durch Diebstahl von Daten oder Programmcodes oder die Manipulation oder Löschung von Daten, Accounts, Konfigurationseinstellungen usw..

Ein Denial-of-Service-Angriff (DoS-Angriff oder DoS-Attacke) bezeichnet einen Angriff von Hackern, bei dem ein oder mehrere Serverdienste überlastet werden. Ziel ist es, eine Webseite unzugänglich zu machen oder den Webserver zu einem Systemabsturz zu provozieren.

Missbrauch der Plattform des Providers

z.B. durch Brute-Force-Angriffe auf Passwörter, Botnetze oder Schadsoftware.

Ein Brute-Force-Angriff wird oftmals zum Knacken von Passwörtern anwendet. Dies kann über Ausprobieren aller möglichen Buchstaben- oder Zahlenkombinationen erfolgen oder aber durch sogenannte Wörterbuchangriffe. Bei Wörterbuchangriffen wird davon ausgegangen, dass viele Benutzer bekannte Wörter als Passwort einsetzen. Es werden also Begriffe aus Wörterbüchern zur Passwortfindung verwendet.

Bei einem Botnetz werden Rechner von Nutzern mit Schadsoftware bespielt, oftmals im Unwissen des Nutzers. Diese Schadsoftware stellt die Basis für massenhaften Spamversand dar.

Nutzung von Sicherheitslücken auf den Übertragungswegen

Bei der Übertragung via Internet zwischen Kunde und Anbieter z.B. durch Abhören des Datenverkehrs oder für Man-in-the-Middle-Angriffe sowie bei bereitgestellten Schnittstellen und APIs.

Bei einem Man-in-the-Middle-Angriff klinkt sich ein Angreifer in den Datenverkehr zwischen Sender und Empfänger ein und manipuliert diesen.

Sicherheitsmängel der technischen Infrastruktur

Bedingt durch fehlende oder unzureichende Sicherheitskonzepte können Sicherheitsmängel in unterschiedlichen Bereichen der technischen Infrastruktur entstehen z.B. durch lückenhafte Zutrittskontrolle, missbräuchlicher Umgang mit Datensicherungen, mangelhafte Löschung defekter Speichermedien vor Austausch oder Aussonderung etc..

Tabelle 1: Allgemeine Risiken
Quelle: Eigene Darstellung

Rechtliche Aspekte beim Cloud Computing

Laut einer Umfrage der Bitkom Research GmbH und der KPMG AG hat die Mehrheit der Unternehmen Sorge um Compliance-Anforderungen in Bezug auf die Nutzung von Cloud-Lösungen.

Sorge um Compliance-Anforderungen bei Cloud Computing

Durch die Nutzung von Cloud-Lösungen werden einige Rechtsgebiete berührt. Im Folgenden werden die einschlägigen gesetzlichen Aspekte erläutert, die beim Einsatz von Cloud Computing in deutschen Unternehmen zu beachten sind.

Welche Vorteile kann die Nutzung von Cloud Computing für Unternehmen mit sich bringen?

Cloud Computing ist derzeit ein allgegenwärtiges Thema in der Informationstechnologie1. Der Anteil der Cloud-Befürworter steigt stetig. Wie Unternehmen zu Cloud Computing stehen

Vom Jahr 2011 bis zum Jahr 2015 ist die Anzahl der Unternehmen, die Cloud Computing nutzen, in Summe um 26% von 28% auf insgesamt 54% gestiegen. Bei Unternehmen mit 100 bis 1.999 Mitarbeitern nutzen bereits 62% Cloud Computing, bei Unternehmen mit 2.000 Mitarbeitern oder mehr sogar 69%. Bei kleinen und mittelständischen Unternehmen ist die Nutzung im Jahr 2015 noch geringer. So nutzen 52% der Unternehmen mit 20 bis 99 Mitarbeitern Cloud Computing2.

Cloud Computing, seine Betriebsformen und Servicemodelle – eine Einführung

Der Hintergrund der Bezeichnung Cloud Computing liegt in der schematischen Darstellung des Internets in Form von Zeichnungen. Dafür wird eine Ansammlung stilisierter vernetzter Computer verwendet, um die eine Wolke gezeichnet wird, die das Internet darstellt. Im Zusammenhang mit Cloud Computing symbolisiert die Wolke die Unbekanntheit des physischen und geographischen Speicherortes für den Benutzer1.Cloud Computing Schema

Zum Cloud Computing existiert eine Vielzahl von Definitionen, eine einheitliche präzise Definition des Cloud Computing existiert jedoch nicht2. Es werden häufig Definitionen verwendet, die sich ähneln, jedoch immer wieder variieren3. Generell lässt sich Cloud Computing als Netzwerk bezeichnen, das an den Bedarf des Nutzers angepasste IT-Infrastrukturen, in der Regel über das Internet, zur Verfügung stellt4.

BYOD in Unternehmen

Welche Risiken durch BYOD in Unternehmen entstehen und wie mit diesen umgegangen werden kann

man brings own device“Bring your own device“ (BYOD) bezeichnet die Nutzung privater mobiler Geräte, wie z.B. Tablet-PCs, Notebooks oder Smartphones, innerhalb von Unternehmensnetzwerken. Auf diesen mobilen Geräten wird auf vom Arbeitgeber bereitgestellte Ressourcen wie E-Mail, Kontakte, Kalender, Datenbanken sowie persönliche Einstellungen und Daten zugegriffen.

Die Nutzung privater IT-Geräte in Unternehmen hat ein hohes Kosteneinsparpotential, birgt jedoch eine Vielzahl von Risiken, die betrachtet werden müssen:

  • Komplexität und damit der Betriebsaufwand der IT-Infrastruktur steigt

Unternehmensnetzwerke sind häufig nicht heterogen ausgelegt. Ein heterogenes Netzwerk erfordert einen höheren Aufwand für die Administration von Strukturen, Protokollen und Diensten.

Öffentliches WLAN, Störerhaftung und Vorratsdatenspeicherung

Immer mehr Unternehmen wollen auch ihren Gästen den Zugang zum Internet ermöglichen. Häufig wird dabei auf ein öffentliches WLAN Netzwerk oder Gastzugänge zurückgegriffen.

Generell besteht ein Interessenkonflikt in Bezug auf die öffentliche Nutzung von WLAN. Einerseits gibt es ein großes öffentliches Interesse an verbreitetem Internetzugang, das sich auch in der im Grundgesetz verankerten Meinungs- und Informationsfreiheit gemäß Art. 5 GG wiederspiegelt. Andererseits können durch die Nutzung eines solches Netzes Urheberrechts- und Persönlichkeitsrechtsverstöße nach Abs. 14 GG und Art. 2 Abs. 1 GG begangen werden. Auch Marken- oder Namensrechtsverletzungen sind denkbar.[1]

Doch welche Auswirkungen hat die Bereitstellung eines solchen Netzwerks für den Betreiber?

Software testen - mit den richtigen Daten

Software testen: Ein immer wieder brisantes Thema bei der Softwareerstellung ist die Testdatenbereitstellung oder -aufbereitung. Gerne werden hierzu Echtdaten benutzt, da diese Daten selbstverständlich der Komplexität der Realität am nächsten kommen und im Verhältnis leicht und kostengünstig zu beschaffen sind. Noch dazu lassen sich ganze Testsysteme durch einfache Kopie des Produktivsystems aufbauen und immer wieder aktualisieren.

Ein Gesetz zur Sicherung der digitalen Welt Deutschlands – Beitrag zur Sicherung des Wirtschaftsstandortes Deutschland oder mehr?

Bild 1Ist es wirklich nötig, ein Gesetz zu erlassen, um die Unternehmen und Verwaltungen dieses Landes zu mehr Sicherheits­aufwendungen im Bereich der digitalen Infrastruktur zu animieren?

Die Bundesregierung hat, durch das Bundesministerium des Inneren, einen der elementaren Bausteine ihrer „Digitalen Agenda“, vorgestellt am 20.08.2014, am 19.08.2014 als Referentenentwurf  veröffentlicht – das „IT-Sicherheitsgesetz“ (Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)).

Dokumentation der Geschäftsprozesse – Richtlinienmanagement, Policies & Procedures

Dokumentation der Geschäftsprozesse, um interne, aufsichtsrechtliche bzw. gesetzliche Vorgaben zu erfüllen: Mehrwertverbundene Tätigkeit oder lästige Pflichtaufgabe?

Die Meinungen gehen oft auseinander und die Frage ist in Einzelfällen nicht einfach zu beantworten. Die Dokumentation der Aufbau- und Ablauforganisation ist grundsätzlich mit einem Mehrwert verbunden und sollte immer aktuell vorhanden sein. Sie kann jedoch das Ziel verfehlen, wenn in einem Unternehmen ein „Dokumentationswahn“ ohne strukturiertes Vorgehen herrscht und der Durchblick verloren geht bzw. die notwendigen Kapazitäten nicht vorhanden sind, um die Anforderungen umzusetzen. Die Begleiterscheinungen sind dann oft die folgenden:

  • fehlende Aktualisierung in einem sich schnell wandelnden Umfeld
  • Organisationen erstellen ohne klare Vorgaben Dokumentationen mit unterschiedlicher Struktur und Umfang
  • fehlende Ordnung und Transparenz, da in den Dokumenten nicht auf Schnittstellenpapiere verwiesen wird
  • zentrale, wesentliche Punkte verlieren sich in langen und umfangreichen Ausführungen
  • Mitarbeiter werden von der Vielzahl an Dokumenten „erschlagen“, da eine zielgruppengerechte Verteilung nicht stattfindet
  • fehlende Abgrenzungen zwischen Papieren führen dazu, dass Themen doppelt aufgegriffen werden und mit unterschiedlichen Ständen oder widersprüchlich vorliegen
  • Dokumente können nicht aufgefunden werden bzw. die aktuelle Version ist nicht eindeutig erkennbar

Die Grundlage für die Vermeidung der eben aufgeführten Punkte bildet ein effektives Rahmenwerk für Dokumentenerstellung und -verwaltung (Richtlinienmanagement), welches in einfacher Ausprägung Nachfolgendes berücksichtigt:

Seiten