Skip to main content
Disciplines
Automotive Business IT + Informatics Construction + Real Estate Electrical Engineering + Electronics Energy + Sustainability Insurance + Risk Finance + Banking Management + Leadership Marketing + Sales Mechanical Engineering + Materials
Events
DE
EN
Books
Journals
Topic Page
Marketing
Start single access now
Access for companies
EXTENDED SEARCH
Log in
Top

2018 | Book

Einführung Read chapter Read first chapter

IT-Risikomanagement von Cloud-Services in Kritischen Infrastrukturen

HMD Best Paper Award 2017

Authors: Michael Adelmeyer, Christopher Petrick, Prof. Dr. Frank Teuteberg

Publisher: Springer Fachmedien Wiesbaden

Book Series : essentials

Part of: Springer Professional "Wirtschaft+Technik" , Springer Professional "Technik" , Springer Professional "Wirtschaft"

Login to get access
insite
SEARCH

About this book

Der Einsatz von Cloud-Services birgt neben vielfältigen Vorteilen auch Risiken für die IT-Sicherheit von Unternehmen. Dies gilt insbesondere für Betreiber Kritischer Infrastrukturen, die durch das IT-Sicherheitsgesetz dazu verpflichtet werden, ihre IT besser vor Cyber-Attacken zu schützen. Für ein funktionierendes IT-Risiko- und Sicherheitsmanagement ist daher eine vollständige Identifikation sowie Bewertung der sich aus dem Einsatz von Cloud-Services ergebenden Risiken unerlässlich. Hierzu werden im vorliegenden essential ein Anforderungskatalog an Cloud-Services zur Umsetzung des IT-Sicherheitsgesetzes, ein Framework für das IT-Risikomanagement von Cloud-Services in Kritischen Infrastrukturen sowie Handlungsempfehlungen für Unternehmen präsentiert.

Die Autoren
Michael Adelmeyer, M.Sc., CISA, ist wissenschaftlicher Mitarbeiter am Fachgebiet für Unternehmensrechnung und Wirtschaftsinformatik (UWI) der Universität Osnabrück. Christopher Petrick, M.Sc., hat Betriebswirtschaftslehre mit den Schwerpunkten Accounting und Management an der Universität Osnabrück studiert. Prof. Dr. Frank Teuteberg ist Leiter des Fachgebiets UWI an der Universität Osnabrück.

Table of Contents

Frontmatter
Kapitel 1. Einführung
Zusammenfassung
Im vorliegenden Beitrag sollen die sich aus dem IT-SiG ergebenden Anforderungen an Cloud-Services und die Auswirkungen für KRITIS untersucht werden. Zudem sollen unterschiedliche Anwendungsfälle und Perspektiven im Kontext des IT-Risikomanagements von Clouds betrachtet werden. Hierzu wurden sechs Interviews mit Experten aus verschiedenen Prüfungs- und Beratungsgesellschaften geführt, die im Bereich IT-Sicherheit, Cloud Computing und IT-SiG tätig sind.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg
Kapitel 2. Grundlagen des Cloud Computings
Zusammenfassung
Für das Paradigma des Cloud Computings existiert keine etablierte und universal gültige Definition, vielmehr ist ein breites Spektrum an Beschreibungsversuchen und Begriffsabgrenzungen zu finden. Eine in der Wissenschaft sowie Praxis weit verbreitete und allgemein akzeptierte Definition wurde durch das National Institute of Standards and Technology (NIST) aufgestellt, welche unter anderem verschiedene Service- und Bereitstellungsmodelle differenziert.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg
Kapitel 3. Risiken für Kritische Infrastrukturen durch Cloud Computing
Zusammenfassung
Infolge der Digitalisierung und der damit zusammenhängenden vermehrten Nutzung und Abhängigkeit von Informationstechnik erhöht sich implizit der Sicherheitsbedarf von KRITIS. Zudem bedingen veränderte Gefährdungslagen, gesetzliche Regelungen wie das IT-Sicherheitsgesetz und aufkommende Technologien, wie bspw. das Cloud Computing, einen kontinuierlichen Prozess sowie stetigen Bedarf der Anpassung von Schutzmaßnahmen. Die Risiken aus dem Einsatz und der Bereitstellung von Cloud-Services hängen maßgeblich von den gewählten Bereitstellungs- und Servicemodellen sowie den betroffenen Systemen, Prozessen und Funktionen ab.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg
Kapitel 4. IT-Sicherheit und IT-Sicherheitsgesetz
Zusammenfassung
In einem Zeitalter der Digitalisierung und globalen Vernetzung gewinnt der Begriff „IT-Sicherheit“ immer mehr an Bedeutung. Angriffe auf IT-Systeme bergen ökonomische und Reputationsverluste für die betroffenen Unternehmen sowie Gefahren für das Gemeinwesen. Die Aufgabe der IT-Sicherheit besteht folglich darin, „Unternehmen und deren Werte (Know-how, Kundendaten, Personaldaten) zu schützen und wirtschaftliche Schäden, die durch Vertraulichkeitsverletzungen, Manipulationen oder auch Störungen der Verfügbarkeit von Diensten des Unternehmens entstehen können, zu verhindern“.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg
Kapitel 5. Betroffenheit von Cloud-Betreibern durch das IT-Sicherheitsgesetzes
Zusammenfassung
Zu unterscheiden ist, ob ein Cloud-Betreiber selbst als KRITIS klassifiziert wird oder als Dienstleister eines KRITIS-Betreibers agiert. Zur Konkretisierung der Vorgaben des IT-SiG sowie zur Klassifizierung der Betreiber wurden in zwei Körben entsprechende Verordnungen erlassen. Hierzu wurde am 22. April 2016 die erste „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)“ des Bundesministeriums des Innern (BMI) für den ersten Korb der Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation erlassen (BMI 2016), die potenziell für Cloud-Betreiber maßgeblich ist.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg
Kapitel 6. Anforderungskatalog für Cloud-Services
Zusammenfassung
Aus dem IT-SiG ergeben sich diverse Anforderungen für Cloud-Betreiber, die entweder selbst als KRITIS klassifiziert sind oder die als Dienstleister eines KRITIS agieren. Hieraus lassen sich Implikationen bzw. Handlungsempfehlungen für die betroffenen Unternehmen und das IT-Risikomanagement von Cloud-Services ableiten. Bestehende Maßnahmen, wie bspw. im Rahmen eines funktionierenden internen Kontrollsystems (IKS), müssen entsprechend integriert oder erweitert werden.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg
Kapitel 7. IT-Risikomanagement-Framework für den Einsatz von Cloud-Services in Kritischen Infrastrukturen
Zusammenfassung
Grundsätzlich können klassische IT-Risikomanagementkonzepte und -theorien des IT-Outsourcings beim Cloud Computing Anwendung finden. Diese müssen jedoch an den jeweiligen Anwendungsfall sowie die Anforderungen des IT-SiG angepasst werden. Ein wesentlicher Unterschied ist dabei der Automatisierungsgrad. Anders als beim klassischen IT-Outsourcing steht beim Cloud Computing nicht die Dienstleistungsbündelung und -beratung im Vordergrund, vielmehr ist ein hoher Grad an Automatisierung maßgeblich, welcher sich in der Regel durch eine anonyme und standardisierte Interaktion auszeichnet.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg
Kapitel 8. Rollen von Cloud-Services im Kontext Kritischer Infrastrukturen
Zusammenfassung
Beim IT-Risikomanagement von Cloud-Services im Kontext des IT-SiG sind wiederum verschiedene Perspektiven zu unterscheiden. So kann ein KRITIS-Betreiber Prozesse und Funktionen an einen Cloud-Dienstleister auslagern oder selbst eine Cloud betreiben. Zudem wird die Sicht eines Cloud-Betreibers als Dienstleister von KRITIS skizziert.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg
Kapitel 9. Handlungsempfehlungen für KRITIS und Cloud-Betreiber
Zusammenfassung
Auf Basis der Anforderungsanalyse des IT-Sicherheitsgesetzes sowie den Experteninterviews wurden zudem Handlungsempfehlungen für KRITIS sowie Cloud-Betreiber abgeleitet. So sollten KRITIS-Betreiber, die ein für den Betrieb der Infrastruktur notwendiges System in eine Cloud ausgelagert haben oder dies planen, diverse Maßnahmen umsetzen, ggf. in Zusammenarbeit mit dem Cloud-Dienstleister.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg
Kapitel 10. Fazit und Ausblick
Zusammenfassung
Vor dem Hintergrund des stark wachsenden Cloud-Marktes und der Digitalisierung werden Cloud-Services zukünftig eine gewichtige Rolle bei der Einhaltung von IT-Sicherheitsfragen spielen. Die Ressourcenbündelung und Vernetzung von Clouds führt zu Herausforderungen für das IT-Risikomanagement, insbesondere im Kontext der IT-Sicherheit und damit für Betreiber Kritischer Infrastrukturen.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg
Backmatter
Metadata
Title
IT-Risikomanagement von Cloud-Services in Kritischen Infrastrukturen
Authors
Michael Adelmeyer
Christopher Petrick
Prof. Dr. Frank Teuteberg
Copyright Year
2018
Electronic ISBN
978-3-658-22742-5
Print ISBN
978-3-658-22741-8
DOI
https://doi.org/10.1007/978-3-658-22742-5

Premium Partner

    Image Credits