Skip to main content
Log in

IT-Risikomanagement von Cloud-Dienstleistungen im Kontext des IT-Sicherheitsgesetzes

IT Risk Management of Cloud Computing Services in the Context of the German IT Security Law

  • Schwerpunkt
  • Published:
HMD Praxis der Wirtschaftsinformatik Aims and scope Submit manuscript

Zusammenfassung

Neben den Vorteilen von Cloud-Diensten ergeben sich durch ihren Einsatz häufig Risiken für die IT-Sicherheit von Unternehmen. Durch das am 12. Juni 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme sollen Betreiber Kritischer Infrastrukturen dazu verpflichtet werden, ihre IT besser vor Cyber-Attacken zu schützen. In diesem Kontext gilt es zu klären, welche Anforderungen Cloud-Betreiber als Dienstleister Kritischer Infrastrukturen umzusetzen haben oder inwiefern diese per Definition des IT-Sicherheitsgesetzes als Betreiber Kritischer Infrastrukturen angesehen werden können. Im Rahmen des IT-Risiko- und Sicherheitsmanagements bei Kritischen Infrastrukturen entstehen bei der Auslagerung von (zentralen) Prozessen und Funktionen zudem Unklarheiten, wie der Einsatz von Cloud-Dienstleistungen zu bewerten ist und welcher Handlungsbedarf auf die Cloud-Betreiber zukommt, zum Beispiel durch das geforderte Mindestsicherheitsniveau der IT-Systeme. In dem Beitrag werden ein Anforderungskatalog an Cloud-Dienstleistungen zur Umsetzung des IT-Sicherheitsgesetzes auf Grundlage von Experteninterviews entwickelt sowie Implikationen für das IT-Risikomanagement von Cloud-Dienstleistungen dargestellt. Abschließend werden Handlungsempfehlungen für Cloud-Betreiber und Betreiber Kritischer Infrastrukturen gegeben.

Abstract

Alongside the benefits of cloud computing IT security risks arise from the use of cloud services. The German act to increase the safety of information technology systems, which was issued on June 12, 2015, requires critical infrastructures to improve the protection of their IT against cyber-attacks. In this context, the requirements cloud operators have to implement as service providers of critical infrastructures, or whether they can be viewed as operators of critical infrastructures by definition of the IT security law, have to be clarified. Furthermore, concerning the IT risk management of critical infrastructures, questions arise when outsourcing (central) processes and functions to the cloud. Regarding this, the overall use of cloud services and the actions cloud operators have to take, for example in order to meet the required minimum level of safety of IT systems, have to be assessed. In this article, a requirements catalog for cloud services and service providers to implement the requirements of the IT security law is developed on the basis of expert interviews. Furthermore, implications for the IT risk management of cloud services and recommendations for cloud providers and critical infrastructures are presented.

This is a preview of subscription content, log in via an institution to check access.

Access this article

Price excludes VAT (USA)
Tax calculation will be finalised during checkout.

Instant access to the full article PDF.

Abb. 1

Literatur

  • Ackermann T (2013) IT security risk management – perceived IT security risks in the context of cloud computing. Springer Gabler, Wiesbaden

    Google Scholar 

  • BMI (2016) Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV). https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/BSI_Kritis_VO.pdf. Zugegriffen: 15. September 2016

    Google Scholar 

  • Bundesamt für Sicherheit in der Informationstechnik (2012) Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter. BSI, Bonn

    Google Scholar 

  • Bundesamt für Sicherheit in der Informationstechnik (2016a) Anforderungskatalog Cloud Computing – Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten. BSI, Bonn

    Google Scholar 

  • Bundesamt für Sicherheit in der Informationstechnik (2016b) Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG. BSI, Bonn

    Google Scholar 

  • Eckert C (2014) IT-Sicherheit: Konzepte-Verfahren-Protokolle. de Gruyter, Oldenbourg

    Book  Google Scholar 

  • EU-Kommission (2013) Vorschlag für eine Richtlinie des europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union. COM/2013/48/FINAL

    Google Scholar 

  • Goldshteyn M, Adelmeyer M (2015) Die Auswirkungen des IT-Sicherheitsgesetzes auf die Interne Revision. Z Interne Revis 6:244–255

    Google Scholar 

  • Grudzien W (2016) IT-Sicherheitsgesetz – Gedanken zur Implementierung. Datenschutz Datensicherh 1:29–33

    Article  Google Scholar 

  • Knoll M (2014) Praxisorientiertes IT-Risikomanagement: Konzeption, Implementierung und Überprüfung. dpunkt.verlag, Heidelberg

    Google Scholar 

  • KPMG (2016) Cloud Monitor 2016. KPMG, Berlin

    Google Scholar 

  • Mell P, Grance T (2011) The NIST definition of cloud computing. NIST Special Publication, Gaithersburg

    Book  Google Scholar 

  • Pearson S, Yee G (Hrsg) (2013) Privacy and security for cloud computing. Springer, London, S 3–42

    Book  Google Scholar 

  • TeleTrusT – Bundesverband IT-Sicherheit e. V. (2016) Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes (ITSiG). TeleTrusT, Berlin

    Google Scholar 

  • Teuteberg F (2015) Kennzahlengestütztes Risikomanagement zum Monitoring von IT-Outsourcing-Aktivitäten am Beispiel des Cloud Computing. Controlling 27:290–299

    Article  Google Scholar 

  • UP KRITIS (2016) Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen. http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Anforderungen_an_Lieferanten.pdf. Zugegriffen: 15. September 2016

    Google Scholar 

  • Wagner C, Hudic A, Maksuti S et al (2015) Impact of critical infrastructure requirements on service migration guidelines to the cloud. In: Proceedings of the 3rd International Conference on Future Internet of Things and Cloud Rom. IEEE Computer Society, Washington DC

    Google Scholar 

  • Younis YA, Merabti M, Kifayat K (2013) Secure cloud computing for critical infrastructure: a survey. Technical Report. John Moores University, Liverpool

    Google Scholar 

Download references

Author information

Authors and Affiliations

Authors

Corresponding author

Correspondence to Michael Adelmeyer.

Rights and permissions

Reprints and permissions

About this article

Check for updates. Verify currency and authenticity via CrossMark

Cite this article

Adelmeyer, M., Petrick, C. & Teuteberg, F. IT-Risikomanagement von Cloud-Dienstleistungen im Kontext des IT-Sicherheitsgesetzes. HMD 54, 111–123 (2017). https://doi.org/10.1365/s40702-016-0285-y

Download citation

  • Received:

  • Accepted:

  • Published:

  • Issue Date:

  • DOI: https://doi.org/10.1365/s40702-016-0285-y

Schlüsselwörter

Keywords

Navigation