Diese Arbeit widmet sich der Frage, wie sensible Unternehmensdaten sicher verarbeitet werden können, wenn diese an externe Dienstleistungsanbieter von Cloud-Computing übermittelt und ausgelagert werden?
Bereits in den 1960er Jahren entstanden Ideen, IT-Ressourcen wie Rechenleistung und Anwendungen als eine Dienstleistung einer großen Anzahl von Kunden gegen eine Nutzungsgebühr zur Verfügung zu stellen. Aufgrund der dafür notwendigen, aber damals noch nicht vorhandenen technischen Voraussetzungen wie schnelle und stabile Internetverbindungen sowie der Mehrbenutzerfähigkeit von IT-Systemen, war der technische und wirtschaftliche Durchbruch nicht möglich.
Seit 2006 Amazon Web Services gestartet ist, haben sich weitere Dienstleister etabliert, bei denen mehrere unabhängige Nutzer in ihrem Budget flexibel agieren und durch gemeinsame Rechenkapazitäten hohe Bedarfsspitzen abdecken können.
Der Aufbau einer Cloud Infrastruktur kann in drei Grundmodelle unterteilt werden: einer Public Cloud, einer Private Cloud und einer Kombination aus beidem – der Hybrid Cloud. Alle größeren Firmen in diesem Feld bieten Dienstleistungen an, welche durch internationale Datenschutzrichtlinien wie den Electronic Communications Privacy Act und den Patriot Act der Vereinigten Staaten von Amerika und der davon abhängigen Datenschutzvereinbarung Safe Harbour, welche durch den EU-US Data Privacy Shield und der Datenschutzgrundverordnung (GDPR, General Data Protection Regulation) der EU erweitert wurde, geschützt sind. Zur Vermeidung von Risiken der Datensicherheit wird ein eingeschränkter Zugriff durch Befugnisrollen, eigene Verschlüsselung der verarbeiteten Daten, des Kommunikationsweges über Netzwerke durch Zugriffsbeschränkungen, Virtuelle Private Netzwerk Tunnel, regelmäßige Prüfung auf Viren und andere Sicherheitsmaßnahmen empfohlen, auch wenn Betreiber von Rechenzentren bereits hohe Standards für Verschlüsselungen und Datensicherheit erfüllen.
Inhaltsverzeichnis
1. Definition von Cloud Computing
2. Dienstleistungsmodelle
2.1. Infrastruktur
2.2. Plattform
2.3. Software
2.4. Daten
3. Bereitstellungsmodelle
3.1. Public Cloud
3.2. Private Cloud
3.3. Hybrid Cloud
4. Risiken
4.1. Datensicherheit
4.2. Abhängigkeit
4.3. Fehlende Innovation
5. Maßnahmen
5.1. Risikomanagementprozess
5.2. Informationssicherheitsmanagementsystem
5.3. Datenschutz
5.3.1. Electronic Communications Privacy Act
5.3.2. Patriot Act
5.3.3. Safe Harbor
5.3.4. Datenschutzgrundverordnung der Europäischen Union
5.3.5. EU-US Privacy Shield
5.3.6. CLOUD Act
5.4. Verschlüsselung
5.5. Diversifikation
6. Chancen
6.1. Ortsunabhängigkeit
6.2. Flexibilität und Skalierbarkeit
6.3. Wartung und Instandhaltung
6.4. Optimierung von Kosten
7. Anbindung
8. Zusammenfassung
9. Fazit
Abbildungsverzeichnis
Abbildung 1: Prozess-Risiko-Matrix
Abbildung 2: Datensouveränität
Abbildung 3: Multi-Cloud
Abbildung 4: Kosten für die Ressourcen von CSP
Abbildung in dieser Leseprobe nicht enthalten
Einleitung
Bereits in den 1960er Jahren entstanden Ideen, IT-Ressourcen wie Rechenleistung und Anwendungen als eine Dienstleistung einer großen Anzahl von Kunden gegen eine Nutzungsgebühr zur Verfügung zu stellen. Auf Grund der dafür notwendigen, aber damals noch nicht vorhandenen technischen Voraussetzungen wie schnelle und stabile Internetverbindungen sowie der Mehrbenutzerfähigkeit von IT-Systemen, war der technische und wirtschaftliche Durchbruch nicht möglich (Büst, 2013)
Seit 2006 Amazon Web Services gestartet ist, haben sich weitere Dienstleister etabliert, bei denen mehrere unabhängige Nutzer in ihrem Budget flexibel agieren und durch gemeinsame Rechenkapazitäten hohe Bedarfsspitzen abdecken können.
Der Aufbau einer Cloud Infrastruktur kann in drei Grundmodelle unterteilt werden: einer Public Cloud, einer Private Cloud und einer Kombination aus beidem - der Hybrid Cloud. Alle größeren Firmen in diesem Feld bieten Dienstleistungen an, welche durch internationale Datenschutzrichtlinien wie den Electronic Communications Privacy Act und den Patriot Act der Vereinigten Staaten von Amerika und der davon abhängigen Datenschutzvereinbarung Safe Harbour, welche durch den EU-US Data Privacy Shield und der Datenschutzgrundverordnung (GDPR, General Data Protection Regulation) der EU erweitert wurde, geschützt sind. Zur Vermeidung von Risiken der Datensicherheit wird ein eingeschränkter Zugriff durch Befugnisrollen, eigene Verschlüsselung der verarbeiteten Daten, des Kommunikationsweges über Netzwerke durch Zugriffsbeschränkungen, Virtuelle Private Netzwerk Tunnel, regelmäßige Prüfung auf Viren und andere Sicherheitsmaßnahmen empfohlen auch wenn Betreiber von Rechenzentren bereits hohe Standards für Verschlüsselungen und Datensicherheit erfüllen.
1. Definition von Cloud Computing
Cloud Computing ist ein Modell eines verteilten Informationssystems, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen zuzugreifen (Chellappa, 1997). Dabei können Kosten für Wartung, Speicherplatz und Rechenleistung und die Sicherstellung von wichtigen Daten eingespart werden (lonos, 2022).
Das amerikanische Institut für Standardisierung von Technologie (NIST, National Institute für Standardization of Technology) definiert fünf Eigenschaften (Kumar, Raj & Jel- ciana, 2018):
- Bereitstellung bei Bedarf
Die Provisionierung der Ressourcen läuft automatisch ohne Interaktion mit dem Service Provider ab (engl. On-demand Self Service)
- Verfügbarkeit
Die Dienste sind mit Standard-Mechanismen über das Netz verfügbar und nicht an ein bestimmtes Endgerät gebunden (engl. Broad Network Access)
- Geteilte Ressourcen
Die Ressourcen des Anbieters liegen in einem Pool vor, aus dem sich viele Anwender bedienen können. Dabei wissen die Anwender nicht, wo die Ressourcen sich befinden, sie können aber vertraglich den Speicherort festlegen (engl. Resource Pooling)
- Rapide Elastizität
Die Dienste können schnell und elastisch zur Verfügung gestellt werden, in manchen Fällen auch automatisch. Aus Anwendersicht scheinen die Ressourcen daher unendlich zu sein (engl. Rapid Elasticity)
- Getaktete Dienstleistung
Die Ressourcennutzung kann gemessen und überwacht werden (engl. Measured Services) und entsprechend bemessen auch den Cloud-Anwendern zur Verfügung gestellt werden (Bundesamt für Sicherheit in der Informationstechnik, 2016).
2. Dienstleistungsmodelle
Je nach Bedarf und Vereinbarung (SLA, Service Level Agreement) kann ein Rechenzentrum, eine virtualisierte Plattform als Betriebssystem für Anwendungen sowie auch beziehungsweise nur eine bestimmte Software oder Informationsquelle zum bestehenden IT-System eines Unternehmens hinzugefügt werden (Casola, de Benedictis, Rak & Rios, 2016).
2.1. Infrastruktur
Mit digitaler Infrastruktur sind Rechenzentren und entsprechende Telekommunikationsschnittstellen gemeint, die es ermöglichen auf Ressourcen wie Speicher (S3, Simple Storage Services) und Rechenleistung mit entsprechender Bandbreite zu nutzen (IaaS, Infrastructure-as-a-Service). Der Betrieb eines Rechenzentrums benötigt Strom und Wasser zur Kühlung sowie auch eine sichere geographische Lage, die äußere Einflüsse auf das Rechenzentrum vermeidet.
2.2. Plattform
Als Plattform wird das virtualisierte Netzwerk (engl. Hypervisor) an virtuellen Maschinen (engl. Container) bezeichnet, welches die Ressourcen eines Betriebssystems (OS, Operating System) einer Instanz der Wahl eines Nutzers verwaltet und Speicher, Arbeitsspeicher und Rechenleistung einzelner Komponenten aufeinander abstimmt und über verschiedenste Schnittstellen Ausgaben ermöglicht. Dazu gehören Signale wie Datenauswertungen, graphische Darstellungen oder akustische Übertragungen. Eine Plattform als Dienstleistung (PaaS, Platform-as-a-Service) ermöglicht Anwendungen jeglicher Art und die Kommunikation zwischen Applikationen und Schnittstellen für externe Anbieter (Lynn, Mooney & Domaschka et. al., 2020).
2.3. Software
Wird eine bestimmte Software innerhalb eines Unternehmens verwendet, wie ein Email Programm, welches Dateifreigaben und Videokonferenzen integriert und erleichtert, wird das bestehende IT-System erweitert (SaaS, Software-as-a-Service). Dies kann auch Dienstleistungen wie eine externe Verwaltung des Rechnungswesens, Analyse von Geschäftsprozessen wie auch die Auslagerung des Kundendiensts beschreiben welche als Software angeboten wird.
2.4. Daten
Nicht alle Daten, welche entscheidend sind für ein Geschäftsmodell können von einem einzigen Unternehmen erfasst, bereitgestellt und auf Validität geprüft werden, weswegen die Anbindung vorhandener Datensätze (DaaS, Data-as-a-Service) und zusätzlicher Dienstleister (engl. microservice s) mithilfe von repräsentative Programmierschnittstellen zur Zustandsübertragung (REST API, Representational State Transfer Application Programming Interface) möglich sein muss (Curry, et. al. 2021).
3. Bereitstellungsmodelle
Je nach Anwendungsfall und nötigem Schutz der ausgelagerten Daten kommen verschiedenste Modelle und Kombinationen an Bereitstellungen der Dienstleistungen in Frage. Daten für die öffentliche Verwendung mit einem geringeren Schutzbedarf, wie zum Beispiel die Internetpräsenz eines Unternehmens, werden über eine Public Cloud über das Internet zugänglich gemacht während personenbezogene Daten und Unternehmensdaten in einer Private Cloud gespeichert werden sollten. Falls das Geschäftsmodell beides benötigt, empfiehlt sich eine Kombination mithilfe einer Hybrid Cloud (Ionos, 2021).
3.1. Public Cloud
Bei dem Modell einer Public Cloud werden die Rechenkapazitäten eines Anbieters von mehreren Nutzern der Dienste zusammen genutzt. Der Kunde kann sich aus einer Liste an möglichen Leistungskonfigurationen den passenden Aufbau aussuchen.
Weil auch andere Kunden die Rechner buchen können, kann es passieren, dass es zu Netzwerkauslastungen und erhöhten Lesezugriffen auf den einzelnen Recheneinheiten kommen kann, weil die Kapazitäten nur virtuell oder bedingt voneinander getrennt sind. Das kann zu gegenseitigen Störungen und auch zu Sicherheitsproblemen führen.
3.2. Private Cloud
Als Private Cloud wird ein Rechenzentrum bezeichnet, welches für einzelne Kunden eigene Räume, Maschinen, die dazugehörende Infrastruktur und virtuelle Umgebung bereitstellt. Kunden mieten für einen bestimmten Zeitraum benötigte Dienstleistungen. Zudem bieten die meisten Anbieter ein dediziertes Sicherheitspaket an.
Falls es bei den Anwendungen zu erhöhter Last kommt, lassen sich Ressourcen nur verzögert erweitern und bereitstellen, da erst die Rechnereinheiten installiert und betriebsbereit gemacht werden müssen.
3.3. Hybrid Cloud
Bei dem Konzept einer Hybrid Cloud werden solche Daten, welche zwar von verteilten Teams verwendet werden, jedoch eine erhöhte Sicherheit benötigen in speziell dafür vorgesehen und gemieteten Recheneinheiten einer Private Cloud gespeichert.
Oft werden auch die bereits vorhandenen Server eines Unternehmens verwendet. Diese erhalten dann eine verschlüsselte Verbindung zu den verteilten Daten in der Private Cloud.
4. Risiken
Die Bedrohungsanalyse ist ein Teilbereich des Risikomanagements und der Risikoanalyse innerhalb eines Unternehmens um Kernkompetenzen und das Geschäftsmodell nachhaltig gestalten zu können (ERM, Enterprise Risk Management). Mithilfe der Bedrohungsanalyse lassen sich die verschiedenen Bedrohungen für IT-Systeme und IT- Prozesse systematisch erfassen, strukturieren und bewerten. Es handelt sich dabei nicht um einen einmaligen, sondern einen sich wiederholenden Prozess (CI, Continuous Improvement). Bevor weitere Schritte beschlossen werden, muss entschieden werden, wie Risiken behandelt werden. Einige Risiken können durch eine Mitigierung verkleinert werden, andere Risiken können eliminiert oder transferiert wer- den. Manche Risiken werden akzeptiert und benötigen keine Maßnahme. Für IT-Systeme existieren eine Vielzahl möglicher Bedrohungen, die im Rahmen der Bedrohungsanalyse identifiziert, erfasst und bewertet werden.
Abbildung 1: Prozess-Risiko-Matrix
Abbildung in dieser Leseprobe nicht enthalten
Risikoidentifikation mit erwarteter Eintrittswahrscheinlichkeit und Risikopotenzial. Der erwartete Nutzen von Investitionen in Maßnahmen steigt mit der Höhe und Kritikalität eines Risikos (Quelle: Hanschke & Lorenz, 2021)
Mögliche Bedrohungen sind:
- unbefugter Zugriff auf Daten
- Diebstahl oder Manipulation von Daten
- unbefugter Zugriff auf Systeme
- Störung der Verfügbarkeit von Systemen
- Manipulation von Systemen
- Angriffe durch beispielsweise Social Engineering oder Malware Denial of Service Angriffe
- Diebstahl von Benutzerkennungen (Security Insider, 2022)
4.1. Datensicherheit
Selbst mit gutem IT-Schutz sind Unternehmen nicht vollständig vor Cyberattacken geschützt. Denn jede noch so gute IT-Sicherheitsabwehr hat eine Schwachstelle: den Menschen. Die häufigsten Angriffe entstehen durch menschliche Fehler, wenn Mitarbeiter etwa E-Mail-Anhänge mit Schadsoftware öffnen. Menschen bilden das größte Sicherheitsrisiko in einer Organisation und die Ziele und Motivationen von Individuuen können manipuliert und gegen die Sicherheitsrichtlinien und dem Zweck eines Unternehmens verwendet werden (Pfleeger & Caputo, 2021). Es besteht weiterhin das Risiko der Korruption, sodass jegliche Eide und Gesetze umgangen werden können, wenn eine Person mit Zugriff auf schützenswerte Informationen selbst bedroht wird, diese einem Angreifer freizugeben. Wenn möglich sollte ein Betriebssystem beziehungsweise Systemeinstellungen verwendet werden, bei denen der Zugriff auf Datenerhebung durch das System, dessen Funktionen und weitere Applikationen möglichst gering gehalten ist (Bundesamt für Sicherheit in der Informationstechnik, 2022). Private Mobilgeräte von Mitarbeitern und Geschäftspartnern können vor Ort im Unternehmen durch Lücken in Kommunikationsprotokollen (WLAN, Wireless Local Area Network) ein Sicherheitsrisiko darstellen, welches durch Zugriffsbeschränkungen auf bekannte Geräte vermieden werden kann.
4.2. Abhängigkeit
Viele Anbieter von Plattformen verknüpfen ihre Angebote und erleichtern Kunden die Nutzung von Dienstleistungen. Wird jedoch ein Wechsel aufgrund günstiger Konditionen angestrebt, wird der Datenaustausch mit einem neuen Anbieter erschwert weil Formate für Speicherung und Verarbeitung ausschließlich auf einen Anbieter zugeschnitten sind (engl. Vendor Lock-In).
4.3. Fehlende Innovation
Aufgrund von Auslagerung der Kernkompetenzen kann es sein, dass Möglichkeiten zur Innovation limitiert sind, da nur noch ein einziger Aspekt eines Geschäftsmodells optimiert werden kann während die Wertschöpfungskette einen Markt an Konkurrenten bedient. Entscheidet sich ein CSP, dass eine eigene SaaS profitabel ist, kann er frühere Geschäftspartner und Konkurrenten verdrängen, die PaaS und IaaS des CSP genutzt haben um eine bestimmte SaaS bereitzustellen.
5. Maßnahmen
Um Risiken und Gegenmaßnahmen zu priorisieren, kann das Bedrohungsrisiko bestimmt werden indem die Eintrittswahrscheinlichkeit und die Auswirkung auf das System und das Unternehmen eingeschätzt wird (Alter Solutions, 2022).
5.1. Risikomanagementprozess
Es kann zu Verzögerungen und Ausfällen aufgrund fehlender Aktualisierung von Software, schwachen Passwörter, fehlender zusätzlicher weiterer Faktoren (MFA, MultiFactor Authentication), Zugriffsbeschränkungen und Virenschutzprogramme, zusätzlicher Absprache, Bürokratie und Lieferschwierigkeiten von Strom, Gas, Internet und Komponenten kommen, welche unter Umständen teurer bezogen werden müssen oder im Ernstfall nicht verfügbar sind. Abhängig vom Strom ist auch eine ausreichende Infrastruktur für die Telekommunikation mit Fachabteilungen, Spezialisten, Dienstleistern, Geschäftspartnern sowie Herstellern und Lieferanten von Komponenten. Ein Wasserschaden oder Feuer kann Datenspeicher und Elektronik befallen, ein Sturm die drahtlose Telekommunikation erschweren. Aus Sicht des BSI ist es wichtig, dass Unternehmen einschätzen können, wann bei einem Ausfall der IT ein wirtschaftlicher Totalschaden eintritt und wie sie auch ohne die vorhandene IT den Minimalbetrieb sichern können (Bundesamt für Sicherheit in der Informationstechnik, 2022). Einzelne Personen können erkranken oder andere Aufgaben priorisieren, weswegen eine weitere Person pro Rolle in die Durchführung der Aufgaben unterwiesen werden sollte. Durch die Veränderung vorhandener Systeme der informationstechnischen Verarbeitung können unvorhergesehene Fehler auftreten, die nicht nur die Installation des neuen Systems beeinflussen, sondern auch das gesamte System unterbrechen können (DevOps, Development Operations). Systemunterbrechungen können bei der Umsetzung des Konzeptes auch durch unzureichende Datenschutzunterweisung der Mitarbeiter entstehen (Irsheid, Murad, AlNajdawi & Qusef, 2022).
5.2. Informationssicherheitsmanagementsystem
In vielen Fällen können Risiken an eine Versicherung übertragen werden, im besten Fall wird jedoch die Ursache des Risikos vermieden. Im Fall einer Betriebsunterbrechung infolge von Internetkriminalität wird ein Tagessatz in der Police vereinbart. Dieser berücksichtigt den entgangenen Gewinn des versicherten Unternehmens und wird vom Versicherer solange gezahlt, wie die Produktion oder der Betrieb stillsteht.
Ein Informationssicherheitsmanagementsystem (ISMS, Information Security Management System) enthält eine Dokumentation aller Prozesse und Regeln innerhalb eines Unternehmens, welche das Ziel einer kontinuierlichen und dauerhaften Informationssicherheit haben. Insbesondere sollen die folgenden Aufgaben in Bezug auf die IT-Sicherheit erfüllt werden: Zunächst erfolgt eine Definition von Regeln und Methoden für die IT-Sicherheit. Diese werden anschließend durch Prozesse umgesetzt, die die Organisation in Bezug auf IT-Sicherheit steuern. Die erfolgreiche Umsetzung der Regeln und Methoden in den Prozessen der Organisation wird permanent hinsichtlich der Effektivität und der benötigen Ressourcen zur Aufrechterhaltung der IT-Sicherheit kontrolliert. Die Ergebnisse der Kontrollen und Ressourcenanalysen müssen im Rahmen einer Verbesserung durch gezielte Maßnahmen umgesetzt werden. Dieser Kreislauf wird wiederholt durchlaufen, um eine permanente Erfolgskontrolle zu gewährleisten. Die Familie von Normen der ISO/IEC 27000 enthält alle relevanten Informationen bezüglich Informationssicherheitsmanagementsystemen:
- ISO/IEC 27000:2016 gibt einen Überblick über die ISO/IEC-27000-Familie und enthält Definitionen.
- ISO 27001:2013 beschreibt die Anforderungen an ein ISMS.
- ISO 27002:2013 enthält eine Anleitung für die praktische Umsetzung der Kontrollelemente der ISO 27001:2013.
- Ein Implementierungsleitfaden eines ISMS ist in der ISO 27003:2010 enthalten.
- ISO 27004:2009 beschäftigt sich mit der Metriken zur Messung der Informationssicherheit.
- Das Risikomanagement wird in der ISO 27005:2011 beschrieben.
- Die Normenfamilie enthält weitere Normen für das Cloud Computing, die sichere Software-Entwicklung etc.
Ein ISMS entsprechend der Norm ISO 27001 kann von verschiedenen Organisationen zertifiziert werden, z. B. vom TÜV. Dieses Prüfsiegel stärkt das Vertrauen der Kunden in die Fähigkeit eines Unternehmens, mit der IT-Sicherheit angemessen umzugehen. Aufgrund der Vertraulichkeit von Schutzkonzepten, analysierten Angriffen und konkreten Gegenmaßnahmen ist eine Zertifizierung häufig der einzige Weg, dieses Vertrauen herzustellen. Die Vertraulichkeit von sicherheitsrelevanten Dokumentationen und Maßnahmen ist essenziell, weil ein Angreifer mit diesen Informationen sehr zielgerichtet Schwachstellen finden und diese ausbeuten können (Beckers, 2021).
Alle Mitarbeiter eines Unternehmens müssen nach den Anforderungen an den Datenschutz geschult sein und diesen aktiv ausüben. Dazu gehört eine regelmäßige Aktualisierung des Mail- und Browserprogramms, des Betriebssystems, der Treiber für Netzwerkmodule, der Firewall und der Virenschutzprogramme. Passwörter müssen einzigartig und alphanumerisch sein und durch mindestens einen zweiten Faktor eine zeitlich beschränkte Gültigkeit im System haben.
Eine externe Datenspeicherung kann nur zum Zweck einer zusätzlichen Datensicherung (Sicherungskopien) empfohlen werden. Die jeweilige Teilmenge zu schützender Daten eines Datensatzes muss entweder gesondert verarbeitet werden oder aus dem Datensatz gelöscht werden. Personenbezogene Daten wie Vor- und Nachnamen, Adressen, Bankverbindungen, Telefonnummern, E-Mailadressen und Gesundheitsdaten dürfen nur befugten Instanzen einsehbar sein. Ebenso müssen Metadaten über Zugriffe auf geschützte Informationen verschlüsselt sein. Der verantwortliche Mitarbeiter muss während der gesetzlichen Aufbewahrungsfristen in der Lage sein, nach einem Wechsel des IT-Systems oder der Programme innerhalb angemessener Zeit die elektronisch dokumentierten Informationen lesbar und verfügbar zu machen.
Der verantwortliche Mitarbeiter sollte beim Abschluss von IT-Dienstleistungsverträgen und in jedem einzelnen Wartungs- oder Reparaturfall darauf achten, dass die gesetzlichen Vorschriften eingehalten werden.
5.3. Datenschutz
Je nachdem welcher Anbieter für Cloud Computing (CSP, Cloud Service Provider) gewählt wurde, müssen regionale Umstände wie gesetzliche Anforderungen und Geopolitik beachtet werden um die Einsicht in Daten durch Dritte zu vermeiden.
Das Fernmeldegeheimnis bildet sich aus § 88 TKG und § 10 GG und besagt, dass jegliche Kommunikation, welche postalisch oder elektronisch übermittelt wird, inhaltlich nicht vom übermittelnden Dienstleister eingesehen werden darf. Dementsprechend ist Teil der Dienstleistung strikte Geheimhaltung über den Inhalt von Nachrichten, welche über einen elektronischen Nachrichtendienst gesendet werden. Dies schliesst auch den Einblick durch Dritte wie Geschäftspartner des Dienstleisters oder eine Regierungsbehörde aus. Weil bestehende Datenschutzgesetze bisher oft nur mit der Offenlegung von Cookies, Trackern und der Verwendung von den daraus resultierenden Analysedaten in Verbindung gebracht werden und entscheidend ist, welche Staatsbürgerschaft ein Nutzer hat, sorgen weitere Vorschläge und Diskussion dafür, dass die Gesetzgebung dem Wandel durch fortschreitende Technik standhalten kann und wie das deutsche Fernmeldegeheimnis, Bundesdatenschutzgesetz und europäische Normen jegliche elektronische Kommunikation beinhaltet und nicht nur schrittweise einen Datenschutz für einzelne Technologien erhebt.
5.3.1. Electronic Communications Privacy Act
In 1986 wurde Datenschutz in den Vereinigten Staaten von Amerika als Gesetz definiert (ECPA, Electronic Communications Privacy Act). Dabei werden Regeln festgelegt, welche einen Rahmen für einen Datenschutz bei elektronischer Kommunikation auf nationaler wie auch internationaler Ebene vorgeben. Diese Gesetzesgrundlage soll vermeiden, dass Signale bei der elektronischen Kommunikation abgefangen werden, indem es den Zugang, die Nutzung und die Unterbrechung von einem elektronischen Datenverkehr durch Dritte ausschliesst. Hier wird auch auf den Handel mit ausländischen Partnern verwiesen.
5.3.2. Patriot Act
Title 50 Section 1881a des United States Code erlaubt es US-amerikanischen Behörden, ähnlich wie es deutschen Behörden erlaubt ist (BDSG, Bundesdatenschutzgesetz), jegliche Daten, die eine Firma speichert, welche auch in den Vereinigten Staaten von Amerika tätig ist - unabhängig von der Nationalität des Nutzers - bei Bedarf zur Prüfung eines Verdachts einzusehen (van Hoboken et. al., 2012).
Die Abfrage reicht von Verbindungsdaten und bis hin zu den jeweiligen Inhalten übermittelter Nachrichten. Nachdem keine weiteren Szenarien definiert sind, erlaubt dieses Gesetz dem US-amerikanischen Staat regelmäßig Informationen über eine Person und eine Gruppe von Personen einzusammeln, welche durch einen US-amerikanischen Anbieter verarbeitet werden.
5.3.3. Safe Harbor
Ab dem Jahr 2000 galt die Bestimmung von Safe Harbour, welche US-amerikanischen Unternehmen die Übermittlung von personenbezogenen Daten erlaubte. Ein Hinweis, wie diese Daten verwendet wurden und welche Kooperationspartner des Unternehmens zusätzlich von den Informationen profitieren, musste nicht erfolgen. Auch gab es keine konkrete Einschränkung darüber, welche Informationen verarbeitet wurden (Reinhold, 2017).
5.3.4. Datenschutzgrundverordnung der Europäischen Union
Mit den Normen der Verordnung EU 2016/679 (GDPR, General Data Protection Regulation) hat jede Person, welche Bürger eines Mitgliedstaates der EU ist, Recht auf den Schutz der sie betreffenden Daten (Das Europäische Parlament und der Rat der Europäischen Union, 2016). Seit dieser Durchsetzung müssen Unternehmen darauf hinweisen, dass und wie Nutzungsdaten und personenbezogene Daten genutzt und verarbeitet werden und welche Anbieter von diesen Daten und den daraus resultierenden Erkenntnissen profitieren. Zudem muss es eine Möglichkeit geben, vor Beginn und während der Nutzung entscheiden zu können, welche Daten verarbeitet werden.
5.3.5. EU-US Privacy Shield
Zeitgleich mit der GDPR wurde auch das Abkommen über die Verarbeitung von personenbezogenen Daten von Bürgern der EU mit den Vereinigten Staaten von Amerika überarbeitet. Seit der Änderung am 12. Juli 2016 müssen sich US-amerikanische Unternehmen an die zusätzlichen Datenschutzregelungen der EU halten. Dies gestattet EU Bürgern auch das Recht, einen Missbrauch der übermittelten Daten zu melden und über den Verwaltungsweg durchzusetzen.
5.3.6. CLOUD Act
US-Behörden ist es ermöglicht worden (CLOUD, Clarifying Lawful Overseas Use of Data), Zugriff auf diejenigen Daten zu verlangen, die US-amerikanischen CSP (auch über Tochterunternehmen) im Ausland speichern. Es können also auch Daten betroffen sein, die innerhalb der Europäischen Union verarbeitet werden oder aus anderen Gründen unter die Regelungen der GDPR fallen. Der Schutz der Daten vor behördlichem Zugriff kann also mit Geltung des CLOUD Acts nicht mehr dadurch erreicht werden, dass diese außerhalb der USA gespeichert werden. Europäische Unternehmen müssen bei der Beauftragung von US-Providern die neue Rechtslage beachten und bestehende Risiken gegeneinander abwägen (Ionos, 2021).
Dementsprechend ist nun ein Gesetzt gegen unlauteren Wettbewerb (UWG) und zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft.
Abbildung 2: Datensouveränität
Abbildung in dieser Leseprobe nicht enthalten
Digitale Souveräntiät für Unternehmen durch die Nutzung von IT-Dienstleistern und Cloud-Anbietern mit Sitz und Rechenzentren in Europa bieten maximal mehr Sicherheit vor rechtlichen Abfragen durch US-amerikanische Behörden und Konzerne (Quelle: Ionos, 2021)
5.4. Verschlüsselung
CSP bieten eine erhöhte Sicherheit vor Bedrohungen durch Angriffe auf die IT-Infrastruktur und erleichtern die Instandhaltung und Wartung, weil keine zusätzlichen, internen Ressourcen zur Sicherstellung von Informationen bereitgestellt werden müssen. Um einen sicheren Zugriff auf die Daten und informationsverarbeitenden Applikationen zu garantieren, müssen Schnittstellen und Verbindungen gesichert sein (Velumadhava Rao & Selvamani, 2015). So sichern bereits Zugriffsbeschränkungen (ACL, Access Control Lists) und Entitätszuordnungen (DNS, Domain Name Server), verschlüsselte Protokolle bei der drahtlosem Kommunikation (WPA, WiFi Protected Access) zwischen Geräten und private, virtuelle Netzwerke (VPN, Virtual Private Network), Kommunikationsprotokolle (HTTPS, Hypertext Transfer Protocol Secure) und Datenübertragungsprotokolle wie REST API den Zugriff auf Ressourcen und Applikationen von externen Geräten auf das Unternehmensnetzwerk. Mithilfe von einem Proxyserver können Verbindungsanfragen über einen einzelnen, überwachten Server mit gesonderten Zertifikaten und Rechten gebündelt werden (Jacob, Qiao, Ye & Lee, 2022).. Bevor externe Daten intern bei einem Unternehmensnetzwerk verarbeitet werden, können die Verbindungsanfragen auf Viren und automatisierte Abfragen geprüft werden (DMZ, Demilitarisierte Zone), während die Kommunikation zwischen Komponenten (TLS, Transport Layer Security), Servern (SSL, Secure Sockets Layer) und Netzwerken (SSH, Secure Shell) durch kryptographische Verschlüsselungen garantiert wird (Mall & Saroj, 2018). Damit Unternehmensdaten und personenbezogene Informationen auch sicher sind, wenn und solange sie an externe Dienstleister ausgelagert werden, ist eine eigene Verschlüsselung wichtig (Parikli, Dave, Patel & Doshi, 2019). Basierend auf der Datenlimitierung können Nutzerrollen vergeben werden, sodass kritische Daten nur von Personen eingesehen werden können, die berechtigt sind, diese zu verarbeiten. Um Dritten den Zugriff zu erschweren haben sich symmetrische (AES, Advanced Encryption Standard) und asymmetrische (PBKDF2, Password-Based Key Derivation Function 2) Verschlüsselungsverfahren etabliert. Mithilfe von öffentlichen und privaten Schlüsseln (RSA, Rivest-Shamir-Adleman) können nur Teilnehmer auf den Inhalt einer Nachricht oder Datei zugreifen, denen zuvor der Schlüssel geteilt wurde (Arshinskiy & Shurkho- vetsky, 2022). Damit der Inhaber eines Schlüssels einer bestimmten Identitäten zugeordnet werden kann, werden MFA wie zeitbasierte Kodifizierungen über die Telefonnummer oder Email hinzugezogen. Diese werden auch über biometrische Kennungen wie einen Fingerabdruck erweitert. Hybride Verfahren und eine dezentralisierte Speicherung von Identifikationen bieten einen hohen Schutz für Informationen (PGP, Pretty Good Privacy).
5.5. Diversifikation
Um einerseits Replikationen von Daten bei mehreren Rechenzentren unabhängig voneinander zu speichern als auch spezielle Funktionen von einzelnen Anbieter zu verwenden, kann eine Auslagerung der IT-Infrastruktur bei mehreren CSP in Frage kommen (engl. Multi-Cloud). In Deutschland und Europa kommen neben bekannten Anbietern wie Amazon Web Services, Microsoft Azure und Google Cloud Platform die Ionos Cloud von 1&1 wie auch die Lösungen von Strato in Betracht.
Abbildung 3: Multi-Cloud
Abbildung in dieser Leseprobe nicht enthalten
Die Multi-Cloud - Cloud Infrastruktur ganz nach Bedarf (Quelle: Ionos, 2022)
Durch die Nutzung unterschiedlicher Anbieter kann die IT-Infrastruktur optimiert werden und die Flexibilität bei der Verwaltung der Unternehmensressourcen gesteigert werden indem eine optimale Software-Unterstützung für alle Applikationen sichergestellt werden wodurch die bestehende Cloud-Infrastruktur problemlos erweitert werden kann. Dies erhöht die Datensicherheit, da ein geringeres Risiko durch einen Serverausfall oder Datenverlust besteht und so Notfallsituationen vorgebeugt werden. Die Verwaltung wird durch diesen Schritt jedoch komplexer und es kann sein, dass manche Daten und Applikationen nur bei einem einzigen Anwender genutzt werden können weswegen zusätzliche Schnittstellen und Kommunikationswege erschlossen werden müssen (Ionos, 2022).
6. Chancen
Ein Risiko teilt mit einer unternehmerischen Chance das Vorliegen einer spezifischen Unsicherheitssituation. Sie unterscheidet sich jedoch hinsichtlich der Ausprägung der Konsequenzen, die bei einer Chance gerade in der Erreichung eines optimalen Ergebnisses, der Erreichung oder Übererfüllung eines Zieles liegt. Beim Vorliegen extremer Verlustaversion zur Vermeidung von identifizierten Risiken bedeutet eine Verminderung der Standardabweichung von definierten Unternehmenszielen durch die Zweiseitigkeit des Streuungsmaßes auch einen Verzicht auf unternehmerische Chancen. Ein wichtiges Definitionsmerkmal der unternehmerischen Tätigkeit - das Tragen des allgemeinen unternehmerischen Risikos - schwindet (Sorger, 2008). Im Strategie- und Planungsprozess eines Unternehmens sollte bedacht werden, dass die Änderung von Umständen genutzt werden kann, um neue Geschäftsideen und Märkte für Produkte zu erschließen.
6.1. Ortsunabhängigkeit
Sobald Daten und Software, welche im Tagesgeschäft eines Unternehmens verwendet werden in eine Cloud übertragen und die Verbindungen an die Endgeräte von Mitarbeitern verschlüsselt wurden, können alle Personen ortsunabhängig arbeiten. Solange eine ausreichende Internetverbindung und Strom vorhanden sind, kann sich ein Mitarbeiter über Videokonferenzen austauschen und mit seinen Kollegen in geteilten Dokumenten und Dateien arbeiten. Dies erleichtert die Arbeit im Home Office, vor Ort im Betrieb, bei Geschäftskunden und Partnern wie auch Remote da Informationen synchronisiert sind um weitere Schritte entscheiden zu können.
6.2. Flexibilität und Skalierbarkeit
Je nach Bedarf kann der Speicher erweitertet werden falls große Mengen an Daten gesammelt und verarbeitet werden müssen. Die Fülle an digital verarbeiteten Daten ist seit 1986 exponentiell gewachsen und verdreifacht sich voraussichtlich von 59 ZB im Jahr 2020 auf 175 ZB im Jahr 2025. Die Rechenkapazitäten zur Verarbeitung dieser Daten werden ebenso stärker und beeinflussen die Vielfalt der Anwendungsmöglichkeiten von industrieller Analyse großer Datensätze (IBDA, Industrial Big Data Analytics). Wird eine Anwendung besonders genutzt, können Spitzenlasten durch Zugriffe auf eine Ressource und die damit verbundenen Datenübertragungen kurzfristig skaliert werden. Während einer Veranstaltung wird eine Videoübertragung von mehr Leuten zur gleichen Zeit genutzt und benötigt dementsprechend mehr Instanzen und Bandbreite damit alle Verbindungen an Endgeräte ausreichend stabil sind.
Nachdem ein Softwareentwickler eines Unternehmens nach Freigabe der Unternehmensführung und mit entsprechendem Budget über eine Schnittstelle wie API sowohl S3 wie auch Rechenleistung eines CSP nutzen kann, kann auch die unternehmenseigene Software ausgelagert und als Container und Instanz ausgeführt und skaliert werden.
6.3. Wartung und Instandhaltung
Falls eigene Server über ein VPN an eine Cloud angeschlossen sind, verbleibt die Wartung des Betriebssystems und virtualisierter Anwendungen wie auch Instandhaltung der Geräte und Technik. Zusätzlich wird die Anbindung an die Ressourcen eines CSP eingerichtet. Die Administration einer IT-Infrastruktur kann programmatisch beziehungsweise visualisiert in Graphiken dargestellt überwacht werden, bei der Spitzenlasten und besondere Kosten hervorgehoben werden.
6.4. Optimierung von Kosten
Die Kosten für die Einrichtung einer eigenen IT-Infrastruktur können aufgrund von steigenden Anforderungen an die Möglichkeiten der Rechenleistung und Sicherheitsbestimmungen und einmaligen hohen Kosten bei der Prüfung einer Geschäftsidee die möglichen Gewinne übersteigen und es kann sein, dass sich die Investition nicht amortisiert (Naser, Kamil & Thomas, 2015).
Abbildung 4: Kosten für die Ressourcen von CSP
Abbildung in dieser Leseprobe nicht enthalten
Vergleich der Zertifizierungen und Kosten pro Stunde von AWS, Azure & Ionos (Quelle: eigene Darstellung nach Cloud Academy & Data Semantics, 2022)
Daher kann es sinnvoll sein, stundenweise zusätzliche Ressourcen zu buchen, um die Validität eines Geschäftsmodells zu prüfen oder die bestehende Infrastruktur eines Unternehmens entsprechend zu erweitern.
7. Anbindung
Da es unterschiedliche Betriebssysteme wie macOS und Windows, Programmiersprachen wie Java und C, CSP und Anbieter für Anwendungsfälle von Cloud Computing wie Terraform und Docker gibt, mit der sich ein virtuelles Rechenzentrum (VDC, Virtual Data Center) und dessen Ressourcen anbinden lassen, soll ein Beispiel in Pseudocode notwendige Schritte beschreiben, um die API eines CSP zu nutzen. Mithilfe der Dokumentation können in der Kommandozeile Befehle auf dem Endgerät und Betriebssystem des Nutzers ausgeführt werden (Ionos, 2022).
Abbildung in dieser Leseprobe nicht enthalten
Mit entsprechenden Befehlen der jeweiligen API eines CSP lassen sich nun Ressourcen wie Ausführungsinstanzen, Lastverteilungen, S3 und Zugriffseinstellungen ansteuern. Dies ist ebenso in einer vereinfachten Darstellung möglich (Dashboard).
8. Zusammenfassung
Externe Dienstleistungen für ein IT-System, welches ein VDC mit S3 und Rechenleistung bereitstellt wie auch Applikationen, welche über das Internet verwendet werden können, werden als Cloud Computing bezeichnet. Dabei wird ein Rechenzentrum betrieben, welches die Ressourcen mehrerer Server nutzt, um ein ganzheitliches System anzubieten, welches auf einem oder mehreren Endgeräten genutzt werden kann und einen Datenaustausch zur Verarbeitung und Speicherung ermöglicht. Je nach Anwendungsfall kann ein Geschäftskunde IaaS, PaaS, SaaS oder DaaS nutzen um das eigene Geschäftsmodell zu erweitern und Komponenten eines Systems auszulagern beziehungsweise zu ergänzen. Um Anforderungen an die Datensicherheit zu erfüllen, kann entweder die eigene IT-Infrastruktur mit einer Private Cloud erweitert werden oder bei Bedarf von zusätzlichen Ressourcen eine Public Cloud genutzt werden. Auch Kombinationen unterschiedlicher Modelle sind möglich. Ein ERM und ISMS kann helfen, Bedrohungen zu erkennen, zu mitigieren und zu vermeiden. CI ist nötig um zukünftige Probleme zu lösen. Es bestehen Sicherheitsrisiken der eigenen Infrastruktur, welche durch die Wahl eines CSP mitigiert und vermieden werden können. Da bei der Wahl ausländischer Dienstleister geopolitische Risiken beachtet werden sollten, ist neben eigenen, hybriden Verschlüsselungen und Zugriffsbeschränkungen des Datenverkehrs ein CSP im eigenen Rechtsraum empfehlenswert. Die Nutzung mehrerer CSP kann Möglichkeiten eröffnen, die sowohl sicher sind als auch dem Bedarf spezieller Anwendungsfälle gerecht wird. Mitarbeiter können ortsunabhängig arbeiten und Anwendungen können mit zusätzlichen Ressourcen flexibel skaliert werden während Kosten optimiert werden. Cloud Computing ist oft agnostisch bezüglich der Wahl von Technologien und ermöglicht eine Anbindung mit mehreren Betriebssystemen und die Nutzung von unterschiedlichen Programmiersprachen.
9. Fazit
Digitale Lösungen können zusätzliche Ressourcen zur Speicherung, Verarbeitung und Sicherstellung von Daten benötigen, die die Möglichkeiten eines einzelnen Unternehmens übersteigen. Wird die Infrastruktur geteilt und Rechenzentren und Dienstleistungen von weiteren Anbietern genutzt, kann mit eigener, hybrider Verschlüsselung sowohl eine Informationssicherheit wie auch ortsunabhängige, flexible Skalierung ermöglicht werden. Wie dies umgesetzt und optimiert werden kann, wird fortlaufend erprobt und erforscht.
Literaturverzeichnis
Alter Solutions. (2022). Was ist Security Threat Modeling? - Eine Einführung. https:// alter-solutions.de/allgemein/was-ist-security-threat-modeling-eine-einfuehrung/
Arshinskiy, L., & Shurkhovetsky, G. (2022). Methods of Information Security in Cloud Storages. Transportation Research Procedia, 61, 455-461. https://doi.org/10.1016/).- trpro.2022.01.074
Bundesamt für Sicherheit in der Informationstechnik. (2016). Cloud Computing Grundlagen. https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/ Grundlagen/CloudComputing-Grundlagen.html
Leitlinie zur Informationssicherheit, (2019). https://www.bsi.bund.de/SharedDocs/ Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A01_Sicherheitsleitlinie.pdf? b- lob=publicationFile&v=7
Büst, R. (2013). Daten sind das neue Öl. Wirtschaftsinformatik & Management, 5 (2), 40-46. https://doi.org/10.1365/s35764-013-0277-4
Casola, V., de Benedictis, A., Rak, M., & Rios, E. (2016). Security-by-design in Clouds: A Security-SLA Driven Methodology to Build Secure Cloud Applications. Procedia Computer Science, 97, 53-62. https://doi.org/10.1016/j.procs.2016.08.280
Cloud Academy. (2022). What is Cloud Computing: A Full Overview. https://cloudaca- demy.com/blog/what-is-cloud-computing/
DataSemantics. (2021). AWS vs. Azure. https://datasemantics.co/aws-vs-azure-cloud- platforms/
Hanschke, I., & Lorenz, R. (2021). Strategisches Prozessmanagement - einfach und effektiv. In Strategisches Prozessmanagement - einfach und effektiv (2nd ed.). Carl Hanser. https://doi.org/10.3139/9783446466432.fm
Ionos SE. (2021). Aktuelle Rechtslage zum US-Datentransfer.
Irsheid, A., Murad, A., AlNajdawi, M., & Qusef, A. (2022). Information security risk management models for cloud hosted systems: A comparative study. Procedia Computer Science, 204, 205-217. https://doi.org/10.1016/j.procs.2022.08.025
Jacob, S., Qiao, Y., Ye, Y., & Lee, B. (2022). Anomalous distributed traffic: Detecting cyber security attacks amongst microservices using graph convolutional networks. Computers and Security, 118. https://doi.org/10.10167j.cose.2022.102728
Kumar, P R., Raj, P H., & Jelciana, P (2018). Exploring Data Security Issues and Solutions in Cloud Computing. Procedia Computer Science, 125, 691-697. https://doi.org/ 10.1016/j.procs.2017.12.089
Lynn, T., Mooney, J. G., Domaschka, J., & Ellis, K. A. (2020). Managing Distributed Cloud Applications and Infrastructure. Springer International Publishing. https://doi.org/ 10.1007/978-3-030-39863-7
Mall, S., & Saroj, S. K. (2018). A new security framework for cloud data. Procedia Computer Science, 143, 765-775. https://doi.org/10.1016/j.procs.2018.10.397
Naser, S., Kamil, S., & Thomas, N. (2015). A Case Study in Inspecting the Cost of Security in Cloud Computing. Electronic Notes in Theoretical Computer Science, 318, 179-196. https://doi.org/10.1016Zj.entcs.2015.10.026
Parikli, S., Dave, D., Patel, R., & Doshi, N. (2019). Security and privacy issues in cloud, fog and edge computing. Procedia Computer Science, 160, 734-739. https://doi.org/ 10.1016/j.procs.2019.11.018
Pfleeger, S. L., & Caputo, D. D. (2012). Leveraging behavioral science to mitigate cyber security risk. Computers & Security, 31(4), 597-611. https://doi.org/10.1016/ j.cose.2011.12.010
Reinhold, P (2017). Sicheres Cloud Computing in der Praxis. http://www.qucosa.de/ fileadmin/data/qucosa/documents/22228/Dissertation_Paul_Reinhold.pdf
Security Insider. (2022). Was ist eine Bedrohungsanalyse. https://www.security-insi- der.de/was-ist-bedrohungsanalyse-a-739801/
Sorger, H. (2008). Entscheidungsorientiertes Risikomanagement in der Industrieunternehmung. Peter Lang D. https://doi.org/10.3726/b13927
Velumadhava Rao, R., & Selvamani, K. (2015). Data security challenges and its solutions in cloud computing. Procedia Computer Science, 48(C), 204-209. https://doi.org/ 10.1016/j.procs.2015.04.171
[...]
- Quote paper
- Constantin Sinowski (Author), 2022, Informationssicherheit im Cloud-Computing, Munich, GRIN Verlag, https://www.hausarbeiten.de/document/1318357