Advertisement

HMD Praxis der Wirtschaftsinformatik

, Volume 54, Issue 1, pp 111–123 | Cite as

IT-Risikomanagement von Cloud-Dienstleistungen im Kontext des IT-Sicherheitsgesetzes

  • Michael Adelmeyer
  • Christopher Petrick
  • Frank Teuteberg
Schwerpunkt
  • 878 Downloads

Zusammenfassung

Neben den Vorteilen von Cloud-Diensten ergeben sich durch ihren Einsatz häufig Risiken für die IT-Sicherheit von Unternehmen. Durch das am 12. Juni 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme sollen Betreiber Kritischer Infrastrukturen dazu verpflichtet werden, ihre IT besser vor Cyber-Attacken zu schützen. In diesem Kontext gilt es zu klären, welche Anforderungen Cloud-Betreiber als Dienstleister Kritischer Infrastrukturen umzusetzen haben oder inwiefern diese per Definition des IT-Sicherheitsgesetzes als Betreiber Kritischer Infrastrukturen angesehen werden können. Im Rahmen des IT-Risiko- und Sicherheitsmanagements bei Kritischen Infrastrukturen entstehen bei der Auslagerung von (zentralen) Prozessen und Funktionen zudem Unklarheiten, wie der Einsatz von Cloud-Dienstleistungen zu bewerten ist und welcher Handlungsbedarf auf die Cloud-Betreiber zukommt, zum Beispiel durch das geforderte Mindestsicherheitsniveau der IT-Systeme. In dem Beitrag werden ein Anforderungskatalog an Cloud-Dienstleistungen zur Umsetzung des IT-Sicherheitsgesetzes auf Grundlage von Experteninterviews entwickelt sowie Implikationen für das IT-Risikomanagement von Cloud-Dienstleistungen dargestellt. Abschließend werden Handlungsempfehlungen für Cloud-Betreiber und Betreiber Kritischer Infrastrukturen gegeben.

Schlüsselwörter

Cloud Computing IT-Sicherheitsgesetz Kritische Infrastrukturen IT-Risikomanagement IT-Sicherheit IT-Compliance 

IT Risk Management of Cloud Computing Services in the Context of the German IT Security Law

Abstract

Alongside the benefits of cloud computing IT security risks arise from the use of cloud services. The German act to increase the safety of information technology systems, which was issued on June 12, 2015, requires critical infrastructures to improve the protection of their IT against cyber-attacks. In this context, the requirements cloud operators have to implement as service providers of critical infrastructures, or whether they can be viewed as operators of critical infrastructures by definition of the IT security law, have to be clarified. Furthermore, concerning the IT risk management of critical infrastructures, questions arise when outsourcing (central) processes and functions to the cloud. Regarding this, the overall use of cloud services and the actions cloud operators have to take, for example in order to meet the required minimum level of safety of IT systems, have to be assessed. In this article, a requirements catalog for cloud services and service providers to implement the requirements of the IT security law is developed on the basis of expert interviews. Furthermore, implications for the IT risk management of cloud services and recommendations for cloud providers and critical infrastructures are presented.

Keywords

Cloud Computing IT Security Law Critical Infrastructures IT Risk Management IT Security IT Compliance 

Literatur

  1. Ackermann T (2013) IT security risk management – perceived IT security risks in the context of cloud computing. Springer Gabler, WiesbadenGoogle Scholar
  2. BMI (2016) Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV). https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/BSI_Kritis_VO.pdf. Zugegriffen: 15. September 2016Google Scholar
  3. Bundesamt für Sicherheit in der Informationstechnik (2012) Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter. BSI, BonnGoogle Scholar
  4. Bundesamt für Sicherheit in der Informationstechnik (2016a) Anforderungskatalog Cloud Computing – Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten. BSI, BonnGoogle Scholar
  5. Bundesamt für Sicherheit in der Informationstechnik (2016b) Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG. BSI, BonnGoogle Scholar
  6. Eckert C (2014) IT-Sicherheit: Konzepte-Verfahren-Protokolle. de Gruyter, OldenbourgCrossRefGoogle Scholar
  7. EU-Kommission (2013) Vorschlag für eine Richtlinie des europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union. COM/2013/48/FINALGoogle Scholar
  8. Goldshteyn M, Adelmeyer M (2015) Die Auswirkungen des IT-Sicherheitsgesetzes auf die Interne Revision. Z Interne Revis 6:244–255Google Scholar
  9. Grudzien W (2016) IT-Sicherheitsgesetz – Gedanken zur Implementierung. Datenschutz Datensicherh 1:29–33CrossRefGoogle Scholar
  10. Knoll M (2014) Praxisorientiertes IT-Risikomanagement: Konzeption, Implementierung und Überprüfung. dpunkt.verlag, HeidelbergGoogle Scholar
  11. KPMG (2016) Cloud Monitor 2016. KPMG, BerlinGoogle Scholar
  12. Mell P, Grance T (2011) The NIST definition of cloud computing. NIST Special Publication, GaithersburgCrossRefGoogle Scholar
  13. Pearson S, Yee G (Hrsg) (2013) Privacy and security for cloud computing. Springer, London, S 3–42CrossRefGoogle Scholar
  14. TeleTrusT – Bundesverband IT-Sicherheit e. V. (2016) Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes (ITSiG). TeleTrusT, BerlinGoogle Scholar
  15. Teuteberg F (2015) Kennzahlengestütztes Risikomanagement zum Monitoring von IT-Outsourcing-Aktivitäten am Beispiel des Cloud Computing. Controlling 27:290–299CrossRefGoogle Scholar
  16. UP KRITIS (2016) Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen. http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Anforderungen_an_Lieferanten.pdf. Zugegriffen: 15. September 2016Google Scholar
  17. Wagner C, Hudic A, Maksuti S et al (2015) Impact of critical infrastructure requirements on service migration guidelines to the cloud. In: Proceedings of the 3rd International Conference on Future Internet of Things and Cloud Rom. IEEE Computer Society, Washington DCGoogle Scholar
  18. Younis YA, Merabti M, Kifayat K (2013) Secure cloud computing for critical infrastructure: a survey. Technical Report. John Moores University, LiverpoolGoogle Scholar

Copyright information

© Springer Fachmedien Wiesbaden 2017

Authors and Affiliations

  • Michael Adelmeyer
    • 1
  • Christopher Petrick
    • 1
  • Frank Teuteberg
    • 1
  1. 1.Fachgebiet Unternehmensrechnung und WirtschaftsinformatikUniversität OsnabrückOsnabrückDeutschland

Personalised recommendations