Risikomanagement

Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten

Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im nächsten Teil).

Tabelle 16: Kontrolle 15 Durchführung von Kontrollen
Quelle: Eigene Darstellung

Abhängig vom gewählten Implementierungsmodell ergibt sich beim Einsatz von Cloud-Computing ein Kontrollverlust. Sicherheitsmaßnahmen des Internen Kontrollsystems liegen zumindest teilweise im Hoheitsbereich des Dienstleisters¹. Aus diesem Grund lassen sich aus Anwendersicht innerhalb eines IKS nicht oder nur sehr schwierig alle Risikobereiche einer Cloud-Umgebung abdecken.

Cloud Computing wird von vielen potentiellen Nutzern als risikobehaftet empfunden, vor allen Dingen, was die Speicherung von Daten anbelangt. Diese Sicherheitsbedenken stellen derzeit einen Hauptgrund für die Zurückhaltung vieler Unternehmen gegenüber Cloud Computing dar¹. Doch mit welchen Risiken wird ein Unternehmen konfrontiert, wenn es Cloud Computing nutzen möchte?

Allgemeine Risiken

Bei Cloud-Computing-Systemen handelt es sich grundsätzlich um komplexe verteilte Systeme, die zahlreiche Möglichkeiten für Fehlfunktionen, Angriffe, Ausfälle oder Bedienfelder bieten. Es kann daher prinzipiell von den gleichen Risiken ausgegangen werden, denen auch ein klassisches IT-System ausgesetzt ist. Diese umfassen z. B.²:

Laut einer Umfrage der Bitkom Research GmbH und der KPMG AG hat die Mehrheit der Unternehmen Sorge um Compliance-Anforderungen in Bezug auf die Nutzung von Cloud-Lösungen.

Durch die Nutzung von Cloud-Lösungen werden einige Rechtsgebiete berührt. Im Folgenden werden die einschlägigen gesetzlichen Aspekte erläutert, die beim Einsatz von Cloud Computing in deutschen Unternehmen zu beachten sind.

Cloud Computing ist derzeit ein allgegenwärtiges Thema in der Informationstechnologie¹. Der Anteil der Cloud-Befürworter steigt stetig.

Vom Jahr 2011 bis zum Jahr 2015 ist die Anzahl der Unternehmen, die Cloud Computing nutzen, in Summe um 26% von 28% auf insgesamt 54% gestiegen. Bei Unternehmen mit 100 bis 1.999 Mitarbeitern nutzen bereits 62% Cloud Computing, bei Unternehmen mit 2.000 Mitarbeitern oder mehr sogar 69%. Bei kleinen und mittelständischen Unternehmen ist die Nutzung im Jahr 2015 noch geringer. So nutzen 52% der Unternehmen mit 20 bis 99 Mitarbeitern Cloud Computing².

Der Hintergrund der Bezeichnung Cloud Computing liegt in der schematischen Darstellung des Internets in Form von Zeichnungen. Dafür wird eine Ansammlung stilisierter vernetzter Computer verwendet, um die eine Wolke gezeichnet wird, die das Internet darstellt. Im Zusammenhang mit Cloud Computing symbolisiert die Wolke die Unbekanntheit des physischen und geographischen Speicherortes für den Benutzer¹.

Zum Cloud Computing existiert eine Vielzahl von Definitionen, eine einheitliche präzise Definition des Cloud Computing existiert jedoch nicht². Es werden häufig Definitionen verwendet, die sich ähneln, jedoch immer wieder variieren³. Generell lässt sich Cloud Computing als Netzwerk bezeichnen, das an den Bedarf des Nutzers angepasste IT-Infrastrukturen, in der Regel über das Internet, zur Verfügung stellt⁴.

Welche Risiken durch BYOD in Unternehmen entstehen und wie mit diesen umgegangen werden kann

“Bring your own device“ (BYOD) bezeichnet die Nutzung privater mobiler Geräte, wie z.B. Tablet-PCs, Notebooks oder Smartphones, innerhalb von Unternehmensnetzwerken. Auf diesen mobilen Geräten wird auf vom Arbeitgeber bereitgestellte Ressourcen wie E-Mail, Kontakte, Kalender, Datenbanken sowie persönliche Einstellungen und Daten zugegriffen.

Die Nutzung privater IT-Geräte in Unternehmen hat ein hohes Kosteneinsparpotential, birgt jedoch eine Vielzahl von Risiken, die betrachtet werden müssen:

• Komplexität und damit der Betriebsaufwand der IT-Infrastruktur steigt

Unternehmensnetzwerke sind häufig nicht heterogen ausgelegt. Ein heterogenes Netzwerk erfordert einen höheren Aufwand für die Administration von Strukturen, Protokollen und Diensten.

von Dr. Klaus-Dieter Krause

Ein wesentlicher Erfolgsfaktor für die Funktionsfähigkeit unserer modernen Gesellschaft ist die Energieversorgung. Diese umfasst die Versorgung der Gesellschaft mit Strom, Gas, Wasser und Heizverfahren aus unterschiedlichsten Quellen. Als Quellen können Windkraftanlagen, Kohlekraftwerke, Kernkraftwerke, Wasserkraftwerke, Wärmekopplungsanlagen, Gezeitenanlagen, Biogasanlagen, Solaranlagen, Gaskraftwerke und weitere Anlagen der Energiegewinnung genannt werden.

Waren es bis Ende der 1990er-Jahre im Wesentlichen Kohle-, Wasser- und Kernkraftwerke, so sind es heute immer mehr Windkraft-, Biogas-, Solar- und Wasserkraftwerke, Tendenz stark steigend. Darüber hinaus hat die Liberalisierung des Energiemarktes dazu beigetragen, dass die Anzahl der Marktteilnehmer in Bezug auf die Erzeugung und den Handel sowie den Vertrieb der Energie stark gewachsen ist. Betrug der Anteil der erneuerbaren Energie (Wasser, Wind, Biogas, Batterie, Sonne …) 2014 rund 28%, so wird sich dieser 2050 voraussichtlich bundesweit insgesamt 80% oder mehr belaufen, wie einer von der IRR-Innovationsregion Rheinisches Revier GmbH (Jühlich) beauftragten Studie zu entnehmen war. Nicht zu vergessen ist in diesem Zusammenhang die immer noch bestehende Absicht der heutigen Bundesregierung, bis Ende 2022 den Ausstieg aus der Kernenergie als Energielieferant geschafft zu haben.

Anhand der Energieversorgungseinrichtungen für Strom (Netzbetreiber) lässt sich der Sachverhalt der ansteigenden Energieversorger gut verdeutlichen. Waren es früher vier bis sechs große regionale und überregionale Netzbetreiber, Netzverteiler und Energieversorger, so sind es heute bundesweit wesentlich mehr kleinere und mittelständische Netzbetreiber (z.B. Stadtwerke), welche die Auflagen der Bundesnetzagentur (BNetzA) erfüllen müssen.

Immer mehr Unternehmen wollen auch ihren Gästen den Zugang zum Internet ermöglichen. Häufig wird dabei auf ein öffentliches WLAN Netzwerk oder Gastzugänge zurückgegriffen.

Generell besteht ein Interessenkonflikt in Bezug auf die öffentliche Nutzung von WLAN. Einerseits gibt es ein großes öffentliches Interesse an verbreitetem Internetzugang, das sich auch in der im Grundgesetz verankerten Meinungs- und Informationsfreiheit gemäß Art. 5 GG wiederspiegelt. Andererseits können durch die Nutzung eines solches Netzes Urheberrechts- und Persönlichkeitsrechtsverstöße nach Abs. 14 GG und Art. 2 Abs. 1 GG begangen werden. Auch Marken- oder Namensrechtsverletzungen sind denkbar.[1]

Doch welche Auswirkungen hat die Bereitstellung eines solchen Netzwerks für den Betreiber?

Software testen: Ein immer wieder brisantes Thema bei der Softwareerstellung ist die Testdatenbereitstellung oder -aufbereitung. Gerne werden hierzu Echtdaten benutzt, da diese Daten selbstverständlich der Komplexität der Realität am nächsten kommen und im Verhältnis leicht und kostengünstig zu beschaffen sind. Noch dazu lassen sich ganze Testsysteme durch einfache Kopie des Produktivsystems aufbauen und immer wieder aktualisieren.