Lade Inhalt...

Risikoanalyse von cloudbasierten Diensten zur Auslagerung von Unternehmensdaten im Segment der KMUs

Hausarbeit 2011 31 Seiten

Informatik - Wirtschaftsinformatik

Leseprobe

Inhalt

1 Einleitung

2 Grundlagen
2.1 Cloud-Computing
2.1.1 Betriebsmodelle
2.1.2 Servicemodelle
2.2 Besonderheiten von KMUs
2.3 Risikoanalyse

3 Analyse - Chancen und Risiken beim „Working in the Cloud“
3.1 Chancen
3.1.1 Senkung der Anschaffungs- und Verwaltungskosten
3.1.2 Prozessrestrukturierung
3.1.3 Skalierbarkeit
3.2 Risiken
3.2.1 Potentielle Bedrohungen
3.2.2 Motive für Angriffe
3.2.3 Datenschutz
3.2.4 Abhängigkeit vom Anbieter und von Übertragungswegen
3.3 Risikobewertung
3.4 Maßnahmen und Möglichkeiten zur Risikominimierung

4 Fazit

Abkürzungsverzeichnis

Abbildungsverzeichnis

Literatur

1 Einleitung

Im Laufe der letzten Jahre gewinnt die Technologie des Cloud Computing, gerade als Outsourcing-Möglichkeit für Unternehmen immer mehr an Bedeutung. Dies zeigt sich zum Beispiel auch in einer aktuellen Studie des IDC, einem der führenden Marktforschungsunternehmen im Bereich der Informationstechnologien aus dem Jahre 2011. Demnach arbeiten ca. 70 % der Befragten aktuell an einer Cloud- Strategie bzw. denken über eine Verlagerung von Diensten und Daten in die Cloud nach. Dabei fokussiert sich diese Studie auf die Befragung von Unternehmen mit einer Mitarbeiterzahl größer 250. 1 Ein wichtiger Aspekt lokale Server weiterhin in- house zu verwalten, ist laut dem Cloud-Service-Dienstleister Parallels für Mittelständler nach wie vor das Bedenken in Sicherheit und Schutz der eigenen Daten. 2

Inwieweit diese Skepsis angebracht ist, welche Risiken aber auch Chancen sich durch diese Technologie ergeben, soll im Rahmen dieser Arbeit anhand einer Risikoanalyse näher betrachtet werden. Es wird dabei um das Eruieren von potentiellen Gefahren gehen, als auch darum aufzuzeigen aus welchen technischen oder menschlichen Quellen diese hervorgehen und wie diesen letztendlich entgegengewirkt werden kann. Anders als bei der IDC-Studie wird dabei der Fokus der Betrachtung auf dem Segment der kleinen und mittelständischen Unternehmen, den sogenannten KMUs liegen, deren Anforderungen an Technologien sich zwar größtenteils mit denen größerer Unternehmen decken, welche jedoch oftmals bedingt durch ihre personellen und finanziellen Möglichkeiten nicht in der Lage sind diese in Eigenregie umzusetzen.

Im Kapitel 2 geht es um Grundlagen zum Verständnis der Arbeit. Es wird neben der Vorstellung der Technologie des Cloud Computing, auch ein Überblick über die Begriffsdefinition der kleinen und mittelständischen Unternehmen und deren wirtschaftlichen Anteil gegeben. Dem schließt sich ein Einstieg in das Thema Risiko-Management, sowie damit einhergehend eine Definition des Begriffes Risiko, an. Der Kern der Arbeit liegt im dritten Kapitel, wo innerhalb der Risikoanalyse sowohl die Chancen, als auch die Risiken identifiziert und auch bewertet werden, die die Auslagerung von Unternehmensdaten für KMUs mit sich bringt. Als Abschluss dieses Kapitels werden für die vorher erarbeiteten Risiken entsprechende mögliche Gegenmaßnahmen vorgestellt. Im Fazit soll die Frage beantwortet werden, ob es unter sicherheitstechnischen und risiko-bewerteten Gesichtspunkten für kleine mittelständische Unternehmen erstrebenswert ist, ihre Daten in die Cloud auszulagern.

2 Grundlagen

2.1 Cloud-Computing

Nachdem es lange Zeit für das Cloud Computing keine einheitliche Definition gab, hat das Bundesamt für Datenschutz in der Informationstechnik (BSI) eine Definition erstellt, um für zukünftige Arbeiten rund um dieses Thema eine einheitliche Basis zu schaffen. Nach dieser wird unter dem Begriff im Allgemeinen eine Bereitstellung von Ressourcen, Speicher, Diensten oder Programmen über das Web verstanden, die zumeist auf virtualisierten Infrastrukturen sowie aktuellen Webtechnologien basieren und nutzungsabhängig abgerechnet werden. Dabei stehen eine hohe Verfügbarkeit, Skalierbarkeit, Dynamik und starke Dienstleistungsorientierung im Vordergrund. 3

Der Begriff „Cloud“ hat sich im Wesentlichen erst in den letzten Jahren im Bereich der Informationstechnologie festgesetzt. Vorwiegend kommt es dabei zu einer Assoziation mit dem Internet. Die Bereitstellungstechnologien, auf die für das Cloud Computing zurückgegriffen werden, sind jedoch nicht gänzlich neu. Sie waren jedoch ursprünglich eher für das Intranet, sprich für Bereitstellungszenarien innerhalb von Unternehmensnetzwerken vorgesehen. Mit dem Ansatz Programme und Dienste auch über die Schnittstellen zwischen dem Intra- und dem Internet der breiten Masse in Form von Dienstleistungen zur Verfügung zu stellen, kam es zu einer Symbiose dieser ursprünglich klaren Trennung.

Nach der Definition des amerikanischen National Institute of Standards and Technology (NIST) existieren für Cloud Services fünf Charakteristika:>>

- Diensterbringung auf Anforderung: Dienste sind auf Anforderung und selbständig von Konsumenten ohne erforderliche menschliche Interaktion mit dem Anbieter nutzbar.
- Netzwerkbasierter Zugang: Dienste können netzwerkbasiert in Echtheit durch Verwendung von Standardtechnologien abgerufen werden.
- Ressourcen Pooling: Ressourcen sind in Pools konsolidiert und erlauben eine parallele Diensterbringung für mehrere Nutzer (Mandanten), die dem tatsächlichen Bedarf eines jeden Nutzers angepasst ist.
- Elastizität: Ressourcen werden schnell und in verschiedenen, auch fein granularen Quantitäten, zur Verfügung gestellt und erlauben so die Skalierung von Systemen. Dem Nutzer gegenüber entsteht die Illusion unendlich verfügbarer Ressourcen.
- Messbare Dienstqualität: Dienste sind quantitativ und qualitativ messbar, so dass eine nutzungsabhängige Abrechnung und Validierung der Dienstqualität gegeben ist.<< 4

Neben diesen Charakteristika enthält das NIST-Modell auch zwei unterschiedliche Gruppierungen für Cloud-Architekturen. Der Unterschied ergibt sich hierbei aus dem Betrachtungswinkel, aus dem kategorisiert wird. Bei dem ersten Ansatz erfolgt die Einteilung in Betriebsmodelle über eine Zuordnung zu organisatorischen Einheiten. Beim zweiten Ansatz hingegen wird in Dienst- beziehungsweise Servicemodelle auf der Grundlage ihrer technischen Spezifikationen differenziert.

2.1.1 Betriebsmodelle

Nach der organisatorischen Zugehörigkeit wird demnach zwischen der Public Cloud, Private Cloud und der Hybrid Cloud unterschieden. Bei der Public Cloud stammen Dienstleistungsanbieter und -nehmer aus unterschiedlichen Organisationen. Dabei erfolgt die öffentliche Bereitstellung über frei zugängliche Webportale. Mit diesen werden dem Nutzer Möglichkeiten eingeräumt, den Nutzungsumfang der Dienste selbstständig individuell zu spezifizieren. Im direkten Gegensatz dazu steht die Private Cloud, bei der der Anbieter und Nutzer zur selben Organisation gehören, sprich die Bereitstellung in-house erfolgt und die Kontrolle über die Daten innerhalb dieser Organisation verbleibt. Diese Bereitstellung erfolgt zwar auf selbstverwalteten Infrastrukturen, jedoch kommen hier meist die gleichen Technologien für die Umsetzung zum Einsatz wie bei einer Public Cloud. Dadurch ergibt sich ein Skalierungsvorteil: Ist eine Anwendung oder ein Dienst auf der internen Infrastruktur entwickelt, implementiert und etabliert worden, kann dieser später auch in öffentliche Umgebungen übernommen werden. Die dritte Ausprägung, die Hybrid Cloud, stellt wie ihr Name es schon andeutet eine Mischform der anderen beiden dar. Hierbei werden sowohl Dienste aus der Public, als auch aus der Private Cloud genutzt. Bevorzugt erfolgt dabei eine Nutzung der Dienste aus dem privaten Bereich, so dass meist nur Auslastungsspitzen durch eine Auslagerung in die Public Cloud abgefangen werden. 5

2.1.2 Servicemodelle

Im Bereich des Cloud Computing findet zumeist eine Unterscheidung in drei unterschiedliche Servicemodelle statt.

Infrastructure as a Service (IaaS):

Bei diesem Betriebsmodell werden dem Endkunden zumeist virtualisierte IT- Ressourcen wie Massenspeicher oder Rechenleistung angeboten, deren Allokation er über Verwaltungsschnittstellen selbstständig bestimmen kann. So ist es dem Kunden möglich auf der gemieteten Infrastruktur eigene Betriebssystemumgebungen aufzubauen, in denen er wiederrum individuelle Anwendungen laufen lassen kann.

Platform as a Service (PaaS):

Adressaten der diesem Betriebsmodell entsprechenden angebotenen Laufzeit- und Entwicklungsumgebungen sind zum Großteil Entwickler, die zu diesen kompatible Anwendungen programmieren und dort ausführen können.

Software as a Service (SaaS):

Unter dieses Dienstmodell fällt die Bereitstellung aller möglichen Ausprägungen von Applikationen und Anwendungen, wie zum Beispiel für den Office-Bereich (Tabellenkalkulation, Textverarbeitung), die Bildbearbeitung oder das CustomerRelationship-Management (CRM). Dabei entfallen lokale Installationen der Anwendungen auf dem System des Endkunden. Das Aufrufen beziehungsweise die Nutzung beschränkt sich auf Webbrowser. 6 7

2.2 Besonderheiten von KMUs

Unter KMUs, kurz für kleine und mittlere Unternehmen, werden nach der Definition der Europäischen Union Kleinstunternehmen, kleine und mittlere Unternehmen verstanden. Anhand von Kennzahlen wie Mitarbeiterzahl, Jahresumsatz oder Jahresbilanzsumme und Schwellenwerten für diese Kennzahlen, werden sie in die drei oben genannten Kategorien gegliedert. Welche der beiden letztgenannten Kennzahlen eingehalten wird, ist dabei von den Unternehmen frei wählbar. Da es sich laut Statistiken der EU bei 99 % der Unternehmen in ihren Mitgliedsstaaten um KMUs handelt und diese oftmals einen schlechten Zugang zum Kapitalmarkt haben, werden sie von Seiten der Europäischen Union gezielt durch Förderungsprogramme unterstützt. 8

Von Kleinstunternehmen wird nach der Definition aus dem Jahre 2006 bei Unternehmen gesprochen, die eine Mitarbeiterzahl und einen Jahresumsatz beziehungsweise eine Jahresbilanzsumme von kleiner gleich 2 Mio. EUR aufweisen. Um von einem kleinen Unternehmen zu sprechen, müssen weniger als 50 Mitarbeiter und 10 Mio. EUR als Jahresumsatz oder Jahresbilanzsumme ausgewiesen werden. Um noch von einem mittleren und noch nicht von einem Großunternehmen sprechen zu können, dürfen die Schwellenwerte von 249 Mitarbeitern, 50 Mio. EUR Jahresumsatz bzw. 43 Mio. EUR Jahresbilanzsumme nicht überschritten werden. 9

Mit über 87 Millionen Arbeitsplätzen, einem Gesamtanteil von mehr als 66 % aller Arbeitsplätze innerhalb der Europäischen Union, stellen die über 20 Millionen KMUs einen erheblichen Bestandteil der europäischen Wirtschaftskraft dar.

Im Zusammenhang mit der niedrigen durchschnittlichen Mitarbeiterzahl von 4,21 Mitarbeitern pro Unternehmen und dadurch oftmals nicht vorhandenen informationstechnisch spezialisierten Mitarbeitern oder Abteilungen, stellt die Technologie des Cloud Computing für KMUs eine attraktive Möglichkeit dar, dort angebotene Services zu nutzen, ohne die Applikation oder Komponenten eigenverantwortlich anzuschaffen und zu implementieren. Die hohe Verfügbarkeit durch den Zugriff von einer Vielzahl von internetfähigen Endgeräten und die regelmäßige Aktualisierung der Anwendungen durch die Anbieter, erhöhen die wirtschaftlichen und technischen Anreize für die in dieser Arbeit betrachtete Zielgruppe. 10

2.3 Risikoanalyse

Für den Begriff Risiko existieren entsprechend für die verschiedensten Anwendungsfelder differierende Definitionen. Nach einer betriebswirtschaftlichen Risiko-Definition wird unter einem Risiko eine Bedrohung, sprich eine negative Abweichung von einem definierten Ziel verstanden, die anhand der erwarteten Eintrittshäufigkeit und ihrer Auswirkungen bewertet wird. Versucht man diese Definition auf das Anwendungsfeld der Informationstechnologien anzuwenden, ergibt sich folgendes Verständnis:

Als Risiko werden negative Auswirkungen auf die Kernziele der Informationssicherheit wie Vollständigkeit und Korrektheit der Daten (Integrität), Vertraulichkeit sowie Verfügbarkeit, verstanden. 11

Unter Risiko-Management versteht man die systematische Erfassung und Analyse von Risiken sowie die Ausarbeitung von Maßnahmen zur Reduktion und Beseitigung dieser. Dabei stellt die Risikoanalyse ein Werkzeug und wichtigen Bestandteil im Rahmen des Risiko-Managements dar. Bei dieser Analyse geht es darum die Bedrohungen zu identifizieren und zu bewerten. Ihre Ergebnisse unterstützen danach bei der Ausarbeitung der entsprechenden Maßnahmen. Situationsabhängig kann es neben negativen, durchaus auch positive Abweichungen von definierten Zielen geben. In solchen Fällen wird auch von Chancen gesprochen. Muss beispielsweise ein für ein Projekt vorab festgesetztes Budget nicht ausgeschöpft werden, betrachtet man die daraus resultierende Kostenersparnis als Chance. Gemäß der Definition können Ziele für die es keinerlei mögliche Abweichungen gibt, als „sicher“ betrachtet werden. 12

[...]


1 Vgl. Horton (2011), Seite 1 ff.

2 Vgl. Wiltscheck (2011), Seite 1 f.

3 Vgl. BSI (2011), Seite 1 f.

4 Baun (2011), Seite 5 f.

5 Vgl. Baun (2011), Seite 27 ff.

6 Vgl. BSI (2011), Seite 2

7 Vgl. Baun (2011), Seite 31-39

8 Vgl. EU (2006), Seite 5 f.

9 Vgl. EU (2006), Seite 14

10 Vgl. Wymenga (2011), Seite 7 ff.

11 Vgl. Königs (2009), Seite 9 f.

12 Vgl. Königs (2009), Seite 12

Details

Seiten
31
Jahr
2011
ISBN (eBook)
9783656223498
ISBN (Buch)
9783656227328
Dateigröße
751 KB
Sprache
Deutsch
Katalognummer
v196331
Institution / Hochschule
Fachhochschule für Oekonomie & Management gemeinnützige GmbH, Hochschulstudienzentrum Duisburg
Note
1.3
Schlagworte
Cloud Cloud Computing Risikoanalyse Bedrohungen KMU cloudbasiert Dienste Unternehmensdaten Auslagerung Auslagerung von Unternehmensdaten Timo Timo Koch Koch SaaS PaaS IaaS Risiko Risiko-Map

Autor

Zurück

Titel: Risikoanalyse von cloudbasierten Diensten zur Auslagerung von Unternehmensdaten im Segment der KMUs