165
Prävention von Sicherheitsvorfällen durch risikoorientierte
Maßnahmen
Detektion von Sicherheitsvorfällen
Angemessene Reaktion auf die entdeckten Vorfälle
3.4.2
Risiken beim Einsatz von Cloud‐Computing
Wie bereits in der einführenden fiktiven Cloud‐Story zu erkennen war, gibt
es bei der Nutzung von Cloud‐Services bzw. Auslagerung bestehender IT‐
Dienste in die Cloud auch das Thema Informationssicherheit zu beachten.
Informationen und IT‐Dienste blind, ohne ausreichende Vorkehrungen, in
die Cloud zu verlegen oder aus der Cloud zu nutzen, kommt dem Flug eines
Sichtflugpiloten in dichten Wolkenschichten gleich. Er verliert die
Orientierung ebenso wie die Steuerbarkeit seines Flugzeugs, um sicher auf
Kurs zu bleiben. 90 Prozent aller Flüge werden aber als Flüge nach
Instrumentenflugregeln auch in und oberhalb dichter Wolkenstrukturen
durchgeführt, sodass diese Wettersituation keinen Grund für erhöhtes
Risiko darstellt. Die Metapher des Piloten in den Wolken kann und sollte
auch der Nutzung von Cloud‐Diensten zugrunde gelegt werden.
Risiken, die aus der Nutzung von Cloud‐Services dem Nutzer dieser Dienste
resultieren, sind einerseits strategische und vertragsrelevante Risiken, die in
der Beziehung Cloud‐Nutzer und Cloud‐Provider entstehen. Diese werden
im Kapitel der rechtlichen und steuerlichen Aspekte in diesem Buch
beleuchtet. Zum anderen sind es operative IT‐technische Risiken, die aus
unzureichender Zuverlässigkeit genutzter Dienste entstehen, und
Sicherheitsrisiken, die insbesondere Fragen zur Vertraulichkeit und Integrität
der Daten sowie zur Einhaltung von Compliance‐ und
Datenschutzbestimmungen einschließen.
Operationelle IT‐technische Risiken
Operationelle IT‐technische Risiken sind Unternehmensrisiken, die aus einer
Fehlfunktion wie „Nicht‐Verfügbarkeit“, „Nicht‐Vertraulichkeit“ und „Nicht‐
Integrität“ von IT‐Systemen entstehen. In der Abbildung wird diese
Beziehung der operationellen IT im Unternehmensverbund dargestellt.