Ein Projekt vom

Institut für Internet-Sicherheit

Jetzt für den Master bewerben!

Förderer

Partner

Live-Hacking

   

securityNews

Aktuelle Sicherheitsupdates

Aktuelle IT-Sicherheitslage

info    Gefahr durch Schwachstellen
info    Malware-Aktivität
info    Spam-Aktivität
Stand: 20.08.2017, 04:08Uhr

Expertenkommentar

Prof. Norbert Pohlmann

Institut für Internet-Sicherheit – if(is)

„Professionelle Hacker sind immernoch in der Lage, unsere Systeme anzugreifen. Wir haben zu viele Fehler in der Software, worüber man erfolgreich hacken kann. Außerdem ist Malware eines der größten Probleme, das wir haben. Der Schutz vor Malware ist nach wie vor ungenügend. (...)“ [mehr]

Compliance-Risiken von Cloud Computing

Cloud Computing nimmt in der global vernetzten Welt der Wirtschaft eine zunehmende Bedeutung ein. Rund 65% der Unternehmen in Deutschland nutzen derzeit bereits Cloud-Lösungen. So bietet das Cloud Computing vor allem im Rahmen der Digitalisierung vielfältige Chancen. Es sind aber auch zahlreiche relevante Compliance-Risiken zu berücksichtigen, die letztlich in der Verantwortung der Geschäftsführung liegen.

Unter Compliance wird die Einhaltung von gesetzlichen und unternehmensinternen Regeln verstanden. Das Compliance Management umfasst alle Maßnahmen, die ein rechtskonformes Verhalten eines Unternehmens und seiner Führungs- und Aufsichtsorgane garantieren soll. Ein Compliance-Risiko liegt vor, wenn gegen Compliance-Vorgaben verstoßen wird oder wenn Unternehmensprozesse nicht entsprechend den Compliance-Vorgaben ausgerichtet sind und somit das Risiko eines Verstoßes besteht.

Cloud Computing stellt die Nutzung von konfigurierbaren Hard-und Software-Ressourcen (zum Beispiel Netze, Server, Applikationen und Dienste) über das Internet dar. Auf diese IT-Ressourcen kann bei Bedarf jederzeit und von überall bequem in einem geteilten Pool zugegriffen werden. Die IT-Ressourcen können dabei schnell und mit minimalem Management-Aufwand für Nutzer von Cloud Providern zur Verfügung gestellt werden.

Typische Anwendungen des Cloud Computing sind beispielsweise die Datenanalyse, das Erstellen von Apps und Diensten, die Datenspeicherung, -sicherung und -wiederherstellung, die ortsungebundene Datenbereitstellung, das Hosten von Websites sowie die bedarfsgerechte Softwarebereitstellung.

Eine Orientierung bei der Wahl der Cloud

Nachfolgend sollen folgende vier Arten der Cloud-Bereitstellung unterschieden werden:

  1. Private Cloud – bei dieser Cloud betreibt ein Unternehmen/Anwender seine IT-Dienste und sein firmeneigenes Rechenzentrum weiterhin selbst, nutzt aber cloud-typische Mehrwerte, wie zum Beispiel skalierbare IT-Infrastruktur oder IT-Anwendungen, die über den Webbrowser von bestimmten Mitarbeitern des Unternehmens genutzt werden können.
  2. Public Cloud – die Anwendungen werden öffentlich von einem Provider für jedermann zugänglich gemacht.
  3. Hybride Cloud/IT-Umgebung– hier liegt eine Mischung von Private und Public Cloud Diensten vor. Bestimmte Services laufen bei öffentlichen Anbietern über das Internet, datenschutzkritische Anwendungen und Daten verbleiben im Unternehmen beziehungsweise beim Anwender und werden dort verarbeitet. Diese Cloud wird vor allem in typischen Digitalisierungsbereichen verwendet.
  4. Community Clouds stellen Cloud-Infrastrukturen in einem nicht öffentlichen Nutzerkreis dar. Unternehmen schließen sich in einer Community zusammen und greifen gemeinsam auf bestimmte Daten zu.

 

Grafik 1: Cloud-Servicemodelle

Quelle: Compliance Alliance

 

Bei den Service-Modellen (vgl. Grafik 1) gibt es folgende drei Varianten:

  1. Infrastructure-as-a-Service (IaaS): hier werden Infrastrukturen wie zum Beispiel Rechenleistungen und Storage vom Cloud-Provider als Service angeboten. IaaS ist das einfachste Modell von Cloud Computing. Der Nutzer entrichtet nutzungsbasierte Gebühren.
  2. Platform-as-a-Service (PaaS): hier werden die oben genannten Infrastrukturen angeboten und zusätzlich eine bedarfsgesteuerte Umgebung mit Schnittstellen, so dass der Nutzer auf der Plattform eigene IT-Anwendungen (zum Beispiel Web-Apps oder mobile Apps) betreiben kann
  3. Software-as-a-Service (SaaS): dies stellt das größte Service-Modell im Cloud Computing dar. Software-Anwendungen werden über das Internet bereitgestellt. Software-Anwendungen und Infrastrukturen werden von Cloud-Providern gehostet und verwaltet.

Für viele Unternehmen sind die Vorteile des Cloud Computing mit den Möglichkeiten der Kostensenkung, Flexibilität und Optimierung von Geschäftsprozessen sehr attraktiv. Insbesondere können betriebliche Risiken bei der IT-Nutzung auf den Cloud-Anbieter übertragen werden.

Doch es sollte Vorsicht geboten sein, denn neben den attraktiven Chancen sind auch diverse Compliance-Risiken zu beachten. Die Entscheidung, IT-Services aus der Wolke auf einen einfachen Kostenvergleich zu reduzieren, könnte böse enden. Deshalb ist unter anderem der Cloud Anbieter auf die Einhaltung von rechtlichen Anforderungen abzuklopfen.

Compliance-Risiken technischer, organisatorischer und rechtlicher Art

Folgende wesentliche spezifische Risikoarten sind unabhängig von der Bereitstellungsart oder den Servicemodellen beim Cloud Computing zu beachten:

  • Ordnungsmäßigkeitsrisiken, zum Beispiel
    • Nichteinhaltung von Benutzer-, Zugriffs- und Passwortmanagement
    • Nichteinhaltung von Aufbewahrungsanforderungen
    • Vollständigkeit, Richtigkeit von Daten
    • Verarbeitungsanforderungen, Fehlerhafte Verarbeitung von Daten
  • Sicherheitsrisiken, zum Beispiel
    • Kein Datenschutz der in die Cloud übertragenen Daten;  Gefahr des Datendiebstahles; beispielsweis besteht die Gefahr, dass Schnittstellen beim Exportieren von Daten aus dem eigenen System in die Cloud nicht gesichert sind
    • Keine Datenintegrität der aus der Cloud bezogenen Daten; Gefahr der Datenverfälschung/-manipulation
    • Unbekannter Speicherort der Daten; gegebenenfalls im Ausland

  • Rechtliche Risiken, zum Beispiel
    • Nichteinhaltung von datenschutzrechtlichen Bestimmungen (EU-DSGVO, BDSG) zum Beispiel
      • Zugriffs-, Zugangs-, Zutritts-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeitskontrolle sowie getrennte Verarbeitung der erhobenen Daten je nach Zweck und Kryptographie
      • Umfangreiche Anforderungen bezüglich Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten
      • Vorgaben zur Berichtigung, Löschung und Sperrung von Daten
      • Regeln zu privacy-by-design und privacy-by-default
      • Berücksichtigung von Betroffenenrechten und von Pflichten für Verantwortliche und Auftragsdatenverarbeiter (Cloud-Anbieter)
    • Verfügbarkeits-und Vertraulichkeitsanforderungen im Zusammenhang mit staatlichen Eingriffen beispielsweise bei strafrechtlichen Ermittlungsverfahren
  • Technische Risiken, zum Beispiel
    • Server-, Netz- und Informations und Plattformsicherheit
  • Organisatorische Risiken und personelle Risiken, beispielsweise Notfallplan,
    Sicherheitskonzept, Authentifizierung, geeignetes Personal
    • Verschwiegenheitsverpflichtung

Bei den Risiken handelt es sich um schwerwiegende Compliance-Risiken, die schlimmstenfalls die Unternehmensfortführung gefährden können. Daher ist das Thema Cloud Computing ein strategisches Thema, das die Durchführung eines schlüssigen Umsetzungskonzeptes erfordert. Inhalt eines solchen Konzeptes ist die Wahl der unternehmensadäquaten Cloud-Bereitstellung und Service-Modelle unter Beachtung der Identifizierung, Analyse und Ableitung der Auswirkungen der jeweiligen Compliance-Risiken für den Anwender sowie der Einleitung von präventiven Maßnahmen zur Risikoreduzierung.

Lesen Sie im zweiten Teil, welche Standards im Cloud Computing zu beachten sind und wie die Praxis mit Compliance-Risiken in diesem Zusammenhang umgeht.

Autoren: Diplom-Kauffrau Marion Charlotte Willems, Wirtschaftsprüfer Diplom-Kaufmann Karsten Paape; Compliance Alliance; www.compliance-alliance.eu

Datum: 10.08.2017
Die News wird bereitgestellt von: itsicherheit-online.com