Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten
Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im nächsten Teil).
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
15 |
Die Intransparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten werden minimiert. |
Vertragliche Regelungen zur Durchführung von Kontrollen |
1. Sichtung der vertraglichen Regelungen im Hinblick auf die Durchführung von Kontrollen 2. Durchführung eigener Audits beim Dienstleister oder Nachweise durch Zertifizierungen |
m, p
m, d |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
x |
||||
Tabelle 16: Kontrolle 15 Durchführung von Kontrollen
Quelle: Eigene Darstellung
Vervielfältigung und Verteilung der Daten
Die Vervielfältigung und Verteilung von Daten sollte vertraglich vereinbart werden. Der Ort der Leistungserbringung sowie die Beteiligung von Subunternehmern oder anderer Dritter sollte festgehalten werden.
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
16 |
Daten werden nicht ungewünscht vervielfältigt oder verteilt. |
Vertragliche Regelungen zu Ort und Beteiligungen an Leistungserbringung |
Sichtung der vertraglichen Regelungen im Hinblick auf den Ort der Leistungserbringung sowie Beteiligungen
|
m, p |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
x |
||||
Tabelle 17: Kontrolle 16 Vervielfältigung und Verteilung der Daten
Quelle: Eigene Darstellung
Verfügbarkeit von Diensten
In Verträgen mit Cloud-Anbietern werden Verfügbarkeiten für die bereitgestellten Dienste vereinbart. Die Einhaltung dieser Vereinbarungen kann mittels der Durchführung von Kontrollen überprüft werden (siehe Kontroll-ID 14).
Im Fall eines Ausfalls von Services oder anderen Problemen ist es wichtig, dass es ein geregeltes Verfahren zum Umgang mit solchen Störungen (Incidents) gibt.
Dies wird vertraglich mit dem Cloud-Anbieter vereinbart.
|
Kontroll-ID |
Kontrollziel |
Maßnahme |
Kontrollaktivität |
Typ |
||
|
17 |
Im Fall von Problemen existiert ein einheitliches Vorgehen zur Behandlung von Incidents. |
Einrichtung eines Incident-Managements |
1. Sichtung der Vertragsinhalte bezüglich Regelungen zur Behandlung von Incidents 2. Überprüfung, ob das Incident Management korrekt erfolgt oder Nachweis über eine Zertifizierung |
m, p
m/a, d |
||
|
Zuständigkeit: |
Anbieter |
Anwender |
||||
|
|
x |
|
||||
Tabelle 18: Kontrolle 17 Incident Management
Quelle: Eigene Darstellung
Komplexität der IT-Landschaft
Die Komplexität der IT-Landschaft in einer Cloud-Umgebung macht ein umfassendes Sicherheitsmanagement notwendig. Dabei ist jedoch eine detaillierte Risikoanalyse auf Prozessebene notwendig, um spezielle Risiken, die z.B. aus der Nutzung von mobilen Endgeräten entstehen, zu identifizieren.
Abhängigkeit vom Cloud-Anbieter
Um eine Abhängigkeit vom Cloud-Anbieter zu vermeiden und den Wechsel zu einem anderen Anbieter zu ermöglichen, ist es notwendig, über eine angemessene Cloud-Nutzungs-Strategie zu verfügen (siehe Kontroll-ID 1). Auch ist es sinnvoll, bereits im Rahmen der Erstellung der Cloud-Nutzungs-Strategie Alternativen unter den Anbietern im Blick zu haben, um so einen „Vendor-Lock-in“ zu vermeiden.
Ungewissheit über rechtliche Rahmenbedingungen
Aktuell existieren in Bezug auf Cloud Computing noch einige rechtliche Unklarheiten. Ein Unternehmen kann diesen lediglich in der Form Rechnung tragen, dass es sich über die aktuellen rechtlichen Bestimmungen informiert, sich der Unklarheiten bewusst ist und sich regelmäßig mit der aktuellen Rechtsprechung im Bereich des Cloud Computing befasst.
Know-How-Verlust
Ein Know-How-Verlust lässt sich nicht mittels Kontrollen verhindern. Ob ein Know-How-Verlust vorliegt und ob dieser bewusst angegangen werden soll, ist von der Entscheidung des jeweiligen Unternehmens abhängig und im konkreten Fall kritisch zu hinterfragen.
Gefahr der Profilbildung und Weitergabe von Daten
Der Gefahr einer Profilbildung und Weitergabe von Daten kann durch eine Verschlüsselung, sowohl bei der Übertragung, als auch bei der Speicherung, entgegengewirkt werden (siehe Kontroll-ID 3 und 13).
Darüber hinaus sollte die Weitergabe von Daten vertraglich geregelt sein (siehe Kontroll-ID 15; mehr dazu auch im nächsten Teil).
Zu Teil 5c unserer Reihe: "Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil C – Compliance"
Zurück zu Teil 5a: "Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil A – Allgemeine Risiken"
Zurück zu Teil 4: "Welche Risiken bringt die Nutzung von Cloud Computing für Unternehmen mit sich?"
Zurück zu Teil 3: "Rechtliche Aspekte beim Cloud Computing"
Zurück zu Teil 2: "Welche Vorteile kann die Nutzung von Cloud Computing für Unternehmen mit sich bringen?"
Zurück zu Teil 1: "Cloud Computing, seine Betriebsformen und Servicemodelle – eine Einführung"