Skip to main content
main-content

Über dieses Buch

Der Einsatz von Cloud-Services birgt neben vielfältigen Vorteilen auch Risiken für die IT-Sicherheit von Unternehmen. Dies gilt insbesondere für Betreiber Kritischer Infrastrukturen, die durch das IT-Sicherheitsgesetz dazu verpflichtet werden, ihre IT besser vor Cyber-Attacken zu schützen. Für ein funktionierendes IT-Risiko- und Sicherheitsmanagement ist daher eine vollständige Identifikation sowie Bewertung der sich aus dem Einsatz von Cloud-Services ergebenden Risiken unerlässlich. Hierzu werden im vorliegenden essential ein Anforderungskatalog an Cloud-Services zur Umsetzung des IT-Sicherheitsgesetzes, ein Framework für das IT-Risikomanagement von Cloud-Services in Kritischen Infrastrukturen sowie Handlungsempfehlungen für Unternehmen präsentiert.

Die Autoren
Michael Adelmeyer, M.Sc., CISA, ist wissenschaftlicher Mitarbeiter am Fachgebiet für Unternehmensrechnung und Wirtschaftsinformatik (UWI) der Universität Osnabrück. Christopher Petrick, M.Sc., hat Betriebswirtschaftslehre mit den Schwerpunkten Accounting und Management an der Universität Osnabrück studiert. Prof. Dr. Frank Teuteberg ist Leiter des Fachgebiets UWI an der Universität Osnabrück.

Inhaltsverzeichnis

Frontmatter

Kapitel 1. Einführung

Zusammenfassung
Im vorliegenden Beitrag sollen die sich aus dem IT-SiG ergebenden Anforderungen an Cloud-Services und die Auswirkungen für KRITIS untersucht werden. Zudem sollen unterschiedliche Anwendungsfälle und Perspektiven im Kontext des IT-Risikomanagements von Clouds betrachtet werden. Hierzu wurden sechs Interviews mit Experten aus verschiedenen Prüfungs- und Beratungsgesellschaften geführt, die im Bereich IT-Sicherheit, Cloud Computing und IT-SiG tätig sind.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg

Kapitel 2. Grundlagen des Cloud Computings

Zusammenfassung
Für das Paradigma des Cloud Computings existiert keine etablierte und universal gültige Definition, vielmehr ist ein breites Spektrum an Beschreibungsversuchen und Begriffsabgrenzungen zu finden. Eine in der Wissenschaft sowie Praxis weit verbreitete und allgemein akzeptierte Definition wurde durch das National Institute of Standards and Technology (NIST) aufgestellt, welche unter anderem verschiedene Service- und Bereitstellungsmodelle differenziert.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg

Kapitel 3. Risiken für Kritische Infrastrukturen durch Cloud Computing

Zusammenfassung
Infolge der Digitalisierung und der damit zusammenhängenden vermehrten Nutzung und Abhängigkeit von Informationstechnik erhöht sich implizit der Sicherheitsbedarf von KRITIS. Zudem bedingen veränderte Gefährdungslagen, gesetzliche Regelungen wie das IT-Sicherheitsgesetz und aufkommende Technologien, wie bspw. das Cloud Computing, einen kontinuierlichen Prozess sowie stetigen Bedarf der Anpassung von Schutzmaßnahmen. Die Risiken aus dem Einsatz und der Bereitstellung von Cloud-Services hängen maßgeblich von den gewählten Bereitstellungs- und Servicemodellen sowie den betroffenen Systemen, Prozessen und Funktionen ab.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg

Kapitel 4. IT-Sicherheit und IT-Sicherheitsgesetz

Zusammenfassung
In einem Zeitalter der Digitalisierung und globalen Vernetzung gewinnt der Begriff „IT-Sicherheit“ immer mehr an Bedeutung. Angriffe auf IT-Systeme bergen ökonomische und Reputationsverluste für die betroffenen Unternehmen sowie Gefahren für das Gemeinwesen. Die Aufgabe der IT-Sicherheit besteht folglich darin, „Unternehmen und deren Werte (Know-how, Kundendaten, Personaldaten) zu schützen und wirtschaftliche Schäden, die durch Vertraulichkeitsverletzungen, Manipulationen oder auch Störungen der Verfügbarkeit von Diensten des Unternehmens entstehen können, zu verhindern“.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg

Kapitel 5. Betroffenheit von Cloud-Betreibern durch das IT-Sicherheitsgesetzes

Zusammenfassung
Zu unterscheiden ist, ob ein Cloud-Betreiber selbst als KRITIS klassifiziert wird oder als Dienstleister eines KRITIS-Betreibers agiert. Zur Konkretisierung der Vorgaben des IT-SiG sowie zur Klassifizierung der Betreiber wurden in zwei Körben entsprechende Verordnungen erlassen. Hierzu wurde am 22. April 2016 die erste „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)“ des Bundesministeriums des Innern (BMI) für den ersten Korb der Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation erlassen (BMI 2016), die potenziell für Cloud-Betreiber maßgeblich ist.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg

Kapitel 6. Anforderungskatalog für Cloud-Services

Zusammenfassung
Aus dem IT-SiG ergeben sich diverse Anforderungen für Cloud-Betreiber, die entweder selbst als KRITIS klassifiziert sind oder die als Dienstleister eines KRITIS agieren. Hieraus lassen sich Implikationen bzw. Handlungsempfehlungen für die betroffenen Unternehmen und das IT-Risikomanagement von Cloud-Services ableiten. Bestehende Maßnahmen, wie bspw. im Rahmen eines funktionierenden internen Kontrollsystems (IKS), müssen entsprechend integriert oder erweitert werden.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg

Kapitel 7. IT-Risikomanagement-Framework für den Einsatz von Cloud-Services in Kritischen Infrastrukturen

Zusammenfassung
Grundsätzlich können klassische IT-Risikomanagementkonzepte und -theorien des IT-Outsourcings beim Cloud Computing Anwendung finden. Diese müssen jedoch an den jeweiligen Anwendungsfall sowie die Anforderungen des IT-SiG angepasst werden. Ein wesentlicher Unterschied ist dabei der Automatisierungsgrad. Anders als beim klassischen IT-Outsourcing steht beim Cloud Computing nicht die Dienstleistungsbündelung und -beratung im Vordergrund, vielmehr ist ein hoher Grad an Automatisierung maßgeblich, welcher sich in der Regel durch eine anonyme und standardisierte Interaktion auszeichnet.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg

Kapitel 8. Rollen von Cloud-Services im Kontext Kritischer Infrastrukturen

Zusammenfassung
Beim IT-Risikomanagement von Cloud-Services im Kontext des IT-SiG sind wiederum verschiedene Perspektiven zu unterscheiden. So kann ein KRITIS-Betreiber Prozesse und Funktionen an einen Cloud-Dienstleister auslagern oder selbst eine Cloud betreiben. Zudem wird die Sicht eines Cloud-Betreibers als Dienstleister von KRITIS skizziert.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg

Kapitel 9. Handlungsempfehlungen für KRITIS und Cloud-Betreiber

Zusammenfassung
Auf Basis der Anforderungsanalyse des IT-Sicherheitsgesetzes sowie den Experteninterviews wurden zudem Handlungsempfehlungen für KRITIS sowie Cloud-Betreiber abgeleitet. So sollten KRITIS-Betreiber, die ein für den Betrieb der Infrastruktur notwendiges System in eine Cloud ausgelagert haben oder dies planen, diverse Maßnahmen umsetzen, ggf. in Zusammenarbeit mit dem Cloud-Dienstleister.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg

Kapitel 10. Fazit und Ausblick

Zusammenfassung
Vor dem Hintergrund des stark wachsenden Cloud-Marktes und der Digitalisierung werden Cloud-Services zukünftig eine gewichtige Rolle bei der Einhaltung von IT-Sicherheitsfragen spielen. Die Ressourcenbündelung und Vernetzung von Clouds führt zu Herausforderungen für das IT-Risikomanagement, insbesondere im Kontext der IT-Sicherheit und damit für Betreiber Kritischer Infrastrukturen.
Michael Adelmeyer, Christopher Petrick, Frank Teuteberg

Backmatter

Weitere Informationen

Premium Partner

    Bildnachweise