Risikoanalyse
Start
/
Security Blog
/

Mit umfassender Risikoanalyse auf der sicheren Seite

Cloud-Dienste werden zunehmend als Kollaborationswerkzeuge für die geschäftliche Zusammenarbeit wahrgenommen, doch ihre Nutzung ist mit erheblichen Sicherheitsrisiken verbunden. Nur wenige wissen, mit welchen Sicherheitsstandards die Cloud-Anbieter arbeiten. Eine Risikoanalyse hilft, die allgemeinen Gefährdungen zu identifizieren.

Providerauswahl für Cloud-Services

Cloud-Dienste werden zunehmend als praktische Kollaborationswerkzeuge für die geschäftliche Zusammenarbeit wahrgenommen, doch ihre Nutzung ist mit erheblichen Sicherheitsrisiken verbunden. Nur wenige wissen, mit welchen Sicherheitsstandards in der Cloud gearbeitet wird. Eine Risikoanalyse hilft, allgemeine Gefährdungen zu identifizieren.

Beispielhaft werden nachstehend grundsätzliche Gefährdungen betrachtet, die zum Verlust von Vertraulichkeit, Integrität und Verfügbarkeit führen können, wenn Standardanwendungen und Daten in einer Public-Cloud verarbeitet werden. Daher sollte die Risikoanalyse systematisch zunächst mögliche Gefährdungen der eigenen Unternehmensebene betrachten, bevor die Ebene des Providers und die dazwischen befindliche Sphäre der Kommunikation untersucht wird. Jede Gefährdung hat potenzielle Risiken: Was könnte passieren? Ziel ist es, Schwachstellen zu erkennen und im gleichen Zuge die Wahrscheinlichkeit des Schadensereignisses zu ermitteln: Wie hoch könnte der Schaden sein und wie geht man mit ihm um?

Der Auftraggeber

Die wichtigste Aufgabe des Unternehmens ist es, für den bestmöglichen Schutz seiner Endpoints (mobil, stationär) zu sorgen, bevor das Intranet für den Cloud-Zugriff geöffnet wird. Eine nicht performante Internetanbindung oder der (Teil-)Ausfall der eigenen IT sind hausgemachte Gefährdungen. Grundsätzliche Probleme ergeben sich aus dem Kontrollverlust bzgl. der Verarbeitung eigener Daten und Anwendungen. Fehlende Compliance kann eine Gefährdung darstellen. Oder es wird vergessen, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Verarbeitung personenbezogener Daten erhöhte Risiken für die Betroffenen beinhaltet. Ggf. ist die Auftragsverarbeitung in der Cloud sogar unzulässig.

Der Provider

Betrachtet man die Sphäre des Providers, sollte man prüfen, ob die Verfügbarkeit der Cloud-Services nicht durch ein instabiles Netz oder durch Systeme mit zu hoher Auslastung gefährdet wird. Welche Folgen hat es, wenn Vertraulichkeit und Integrität nicht mehr gegeben sind, weil Kundendaten von den Mitarbeitern des Providers kopiert und nach draußen verkauft werden? Unbefugter Datenzugriff aufgrund technischer Fehler erlaubt möglicherweise anderen Cloud-Kunden Zugriff auf die eigenen Daten zu nehmen, zu spionieren und zu sabotieren. Riskant wird es, wenn der Fortbestand der Geschäftstätigkeit des Providers gefährdet ist und es keine Backups der Daten oder Anwendungen gibt. Diese Punkte sind zu bedenken und es sollte Wert auf umfängliche Verträge gelegt werden.

Die Kommunikation

Während der Phase des Zugreifens auf die Cloud bestehen Gefahren wie Ausspähen, Verändern, Blockieren u. a. durch Hacker. Ursache können sowohl unsichere knackbare Authentifizierungsverfahren als auch unzulässige Zugänge zur Cloud (Anmeldung) sein. Keine oder eine unsichere Verschlüsselung sorgt für einen unsicheren Datentransport. Wer erzeugt die Schlüssel? Wo werden sie hinterlegt? So lauten Fragen, die helfen, potenzielle Risiken zu erkennen.

Risiken abschätzen und bewerten

Schlussendlich ist zu bewerten, welche Gefährdungen vernachlässigbar sind und welchen mit vernünftigen Maßnahmen begegnet werden muss. Alle im Rahmen der Risikoanalyse ermittelten Gefährdungen zur Cloud-Nutzung müssen auf akzeptablem Niveau bleiben. Ist das nicht der Fall, muss das Unternehmen die Entscheidung treffen, ob die Cloud-Nutzung (bei einem bestimmten Geschäftsprozess) versagt oder dennoch erlaubt wird. Die Übernahme von Restrisiken mit verbleibendem Gefährdungspotenzial durch die Leitungsebene ist nachvollziehbar und nachweisbar zu dokumentieren.

Die Ergebnisse der vorab getroffenen Entscheidungen, zum Beispiel auf Basis der nachstehenden Fragen, werden mit den im Unternehmen festgelegten Kriterien zur Auswahl eines Providers konfrontiert:

  • Welches Cloud-Modell für welchen Geschäftsprozess?
  • Welche Cloud-Services benötigen die unterschiedlichen Geschäftsprozesse?
  • Welche Anwendungen möchte man einsetzen?
  • Wo laufen die Anwendungen? Auch auf eigenen Endpoints?

Diese Entscheidungen sollten nicht ausschließlich auf Kosten bzw. Wirtschaftlichkeit abzielen, sondern sich auch auf Aspekte des Datenschutzes, der IT-Sicherheit und der Business Continuity konzentrieren.

Die Kriterien dienen als Befragungsraster, anhand dessen eine „Provider“-Marktanalyse, zumindest aber ein Vergleich durchführbar ist, beispielsweise:

  • Staat, in dem der Provider angesiedelt ist. Wie ist die Sicherheitslage? Welche Rechtsprechung liegt zugrunde?
  • Orte seiner Leistungserbringung: Wo sind die RZ, wo werden Daten gehostet? EU?
  • Bietet der Provider die gewünschten Cloud-Modelle und Cloud-Services an?
  • Wer administriert die Cloud-Services? Provider oder Auftraggeber teilweise oder vollständig?
  • Ist der Cloud-Provider bereit, sein Datenschutz-, Sicherheits- und Notfallkonzept vorzulegen?
  • Wie sieht das Sicherheitsmanagement des Providers aus? Wird es regelmäßig überprüft und vom wem?

Individuelle Vorgaben verbindlich regeln

Die Verantwortung für die Sicherheit der Anwendungen und Daten verbleibt beim Auftraggeber und geht mit der Bestellung nicht auf den Provider der externen Cloud-Services über. Deshalb ist eine genaue Evaluierung aller Vorgaben erforderlich, die in einem individuellen Vertrag zu beauftragen sind.

Wesentliche Vertragsinhalte sind Bestimmungen zum Leistungsgegenstand (Cloud-Modell, Cloud-Services etc.), zu Haftungsfragen, zum Leistungsbeginn und -ende. Betriebliche Regelungen betreffen unter anderem die Prozesse der Fernwartung oder die Einhaltung des Vier-Augen-Prinzips bei der Administration.

Hinsichtlich der Organisation und des Personals sollten Unternehmen Regelungen vornehmen, die die Weisungsgebundenheit des Providers und seine Informationspflicht bei Vorkommnissen definieren. Unter dem Aspekt der Informationssicherheit kann das Einhalten der Anforderungen der ISO 27001 oder des BSI-C5-Kriterienkatalogs (Cloud Computing Compliance Criteria Catalogue) gefordert werden. Sofern Notfallmanagement relevant ist, sollte die Verfügbarkeit der Daten und Dienste, zum Beispiel in Service-Level-Agreements, geregelt werden. Und zu guter Letzt sollte schriftlich geklärt sein, was bei Vertragsende zu beachten ist. Hier geht es beispielsweise um die Datenrückgabe und Löschungsnachweise.

Generell gilt: Bei der Wahl des Dienstleisters sollten Unternehmen ganz genau hinsehen, denn die Vorstellungen darüber, was als sicher gilt, können durchaus unterschiedlich sein.

Diesen Beitrag teilen:

Weitere Artikel

  • Banken

Sicherheit im Kostendruck: Wirtschaftlichkeit von Sicherheitsinvestitionen

Wie lassen sich Sicherheitsinvestitionen wirtschaftlich begründen? Das PDF zeigt Argumentationslinien zu Kosten, Nutzen und Wirtschaftlichkeit von ...
Weiterlesen →
  • Hilfeleistende Stellen

Künstliche Intelligenz im Sicherheits- und Gefahrenmanagement

Künstliche Intelligenz im Sicherheitsmanagement: Chancen, Anwendungen und Pflichten. Effizienz steigern – Verantwortung wahren. ...
Weiterlesen →
  • Analysen & Bewertung

Sicherheitskonzepte für Museen: VZM-Geschäftsführer im hr INFO-Interview zum Diebstahl im Louvre

Wie lassen sich Museen besser schützen? VZM-Geschäftsführer Peter Stürmann erklärt im hr INFO-Interview, warum Sicherheit in ...
Weiterlesen →
Nach oben scrollen
Leistungen
Branchen
Unternehmen
Referenzen
Beratungsgespräch vereinbaren

Impressum

Datenschutz

Sicherheitsberatung
Analysen & Bewertungen

Risiken fundiert einschätzen

Corporate Security

Ganzheitliche Unternehmenssicherheit

Sicherheitskonzeption

Individuelle Schutzstrategien

Datenschutz

Daten und Compliance

KI & KI-Compliance

Rechtssicher mit Künstlicher Intelligenz

Zertifizierungen & Audits

Sicherheit mit Standards belegen

City Sicherheit & Anfahrschutz

Urbane Sicherheitslösungen

Expatriate & Travel Security

Sicherheit weltweit

Personelle Sicherheitsdienstleistungen

Qualifiziertes Sicherheitspersonal

Sicherheitsplanung
Sicherheitstechnik

Technische Sicherheitssysteme

Schließanlagen & Türen-Engineering

Funktionale Zutrittslösungen

Brandschutz

Schutz vor Brand und Gefahrenlagen

Resilienz-Management
Risikomanagement

Risiken beherrschen

Business Continuity Management

Geschäftsprozesse absichern

Krisenmanagement

Unerwartetes strukturiert bewältigen

Technik und Infrastruktur
Rechenzentren

Verfügbarkeit kritischer IT-Infrastrukturen

IT- & Informationssicherheit

Sicherheit für IT und OT

Leitstellen & Sicherheitszentralen

Planung & Betrieb zentraler Sicherheitssysteme

Funktions- und Integrationstests

Sicherheitsfunktionen zuverlässig prüfen

Öffentliche Einrichtungen
Infrastruktur & Versorgung
Wirtschaft & Industrie
Events & Organisationen
Kritische Infrastruktur Branchenübergreifend

Versorgungs- und Sicherheitssysteme mit zentraler Bedeutung

Unternehmen