Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2017 | OriginalPaper | Buchkapitel

16. Risikomanagement bei Nutzung und Angebot von Cloud-Computing

verfasst von : Hans-Peter Königs

Erschienen in: IT-Risikomanagement mit System

Verlag: Springer Fachmedien Wiesbaden

share
TEILEN

Überblick

Dieses Kapitel kommt in logischer Folge nach dem Kapitel über Outsourcing, da viele Aspekte des „Outsourcing“ sowohl aus der Sicht des Anbieters als auch aus Sicht des Kunden respektive des Konsumenten beim Cloud-Computing ebenfalls zutreffen. Auch können die Prozesse für das Risikomanagement und das Sicherheitsmanagement, soweit diese generisch sind, beim Cloud-Computing angewandt werden.
Hingegen erfordert die Virtualisierung von IT-Komponenten und die Inanspruchnahme von IT-Leistungen in der Form von „Services aus der Steckdose“ eine neue Art der Risiko-Ermittlung und Massnahmenbestimmung, um sowohl auf der Anbieterseite als auch auf der Kundenseite akzeptable Restrisiken erreichen zu können.
Um in diesem Buch die Möglichkeiten des Risikomanagements und der Informationssicherheit erfassen zu können, muss vorab das Wesen, die Möglichkeiten und die Varianten des Cloud-Computings in den wesentlichen Charakterzügen und Modellen behandelt werden. Für eine allgemein anerkannte Terminologie werden die Definitionen der US-amerikanischen für Standardisierungen zuständigen Bundesbehörde NIST (NIST = National Institute of Standards and Technology) verwendet [Nide11]. Diese Definitionen der NIST werden mehrheitlich auch in den internationalen Standardisierungsanstrengungen der ISO angewandt (s. ISO/IEC 27017:2015, [Isoc15]). In den Ausführungen dieses Kapitels wird festgestellt, dass ein Cloud-Computing-Angebot ohne festgeschriebene Leistungsvereinbarungen für kritische oder sensible Serviceanforderungen nicht in Frage kommen kann. Demzufolge wird gezeigt, wie in den Phasen eines „Gartner Sourcing Lifecycle“ und mit Prozessen des Servicemanagements sowohl auf der Seite des Providers als auch auf der Seite des Kunden den Anforderungen angemessene, leistungsfähige und sichere Lösungen erarbeitet und umgesetzt werden können. Die Risiken und einzuhaltenden Massnahmen können dabei mit einem in den Phasen des Lifecycles erstellten und umgesetzten Sicherheitskonzepts gesteuert und kontrolliert werden. Die spezielle Art der Risiko-Identifikation und der Risiko-Analyse beim Cloud-Computing wird mit entsprechen Beispielen und einem erstellten Risiko-Assessment-Register dargelegt.
Fußnoten
1
Die Begriffe für die Akteure des Cloud-Computing auf der Kundenseite sind derzeit durch die Standardisierung noch nicht gefestigt.
 
2
Organisation im Sinne einer juristischen Person.
 
3
KPI = Key Performance Indicator.
 
4
ITIL® oder ISO/IEC 20000.
 
5
Risiko-Matrix an ISO/IEC 27005:2011, Anhang E.2.1 angelehnt.
 
6
Als „IT-Prozesse“ gelten in diesem Zusammenhang nicht die generischen Management-Prozesse (z. B. wie bei COBIT®), sondern Unterstützungsprozesse, die mittels der IT einen „Endbenutzer-Service“ liefern.
 
Literatur
[Encr09]
Zurück zum Zitat ENISA: Cloud Computing - Benefits, risks and recommendations for information Security. European Network and Information Security Agency (ENISA), 2009. ENISA: Cloud Computing - Benefits, risks and recommendations for information Security. European Network and Information Security Agency (ENISA), 2009.
[Isoc15]
Zurück zum Zitat ISO/IEC 27017:2015: Guidelines on Information security controls fort he use of cloud computing services based on ISO/IEC 27002. International Organization for Standardization, 2015. ISO/IEC 27017:2015: Guidelines on Information security controls fort he use of cloud computing services based on ISO/IEC 27002. International Organization for Standardization, 2015.
[Nide11]
Zurück zum Zitat NIST: The NIST Definition of Cloud Computing. Washington DC: U.S. Department of Commerce, 2011. NIST: The NIST Definition of Cloud Computing. Washington DC: U.S. Department of Commerce, 2011.
Metadaten
Titel
Risikomanagement bei Nutzung und Angebot von Cloud-Computing
verfasst von
Hans-Peter Königs
Copyright-Jahr
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_16

Premium Partner