Compliance: Cloud Computing – Risiken, Ursachen und mögl ... / 4.3 Management der Risiken

In der Regel haben die Unternehmen bisher nur einzelne Aspekte ihrer IT in Cloud Lösungen abgebildet. Mit zunehmendem Fortschreiten der Transformation in Richtung Cloud müssen sich die Unternehmen aber immer mehr mit der Frage befassen, welche Risiken sich für sie ergeben können und wie ein angemessener Umgang mit diesen Risiken aussehen kann.

Risiken für die Unternehmen können sich dabei, wie bereits aus den vorstehenden beispielhaften Risiken ersichtlich, in mehreren Dimensionen ergeben, z. B.

• Compliance
• Finanziell
• Reputation
• Prozessual.

Es ist sinnvoll, vor wesentlichen neuen Schritten in Richtung Cloud die Risiken in einem strukturierten Prozess zu erfassen, zu bewerten, Maßnahmen zur Begrenzung des Risikos zu definieren und das verbleibende Restrisiko zumindest abzuschätzen. Da die Vermeidung von Risiken oder die Abwehr von Risiken mit erheblichen Aufwendungen verbunden sein kann, werden sich Unternehmen in der Regel entscheiden, ein gewisses Restrisiko als Teil des allgemeinen Unternehmensrisikos final zu tragen.

Auch bei klassischen IT-Lösungen verbleibt ein Restrisiko bzw. kann das Restrisiko aus der Transformation in die Cloud durch einen höheren Nutzen aus der Nutzung von Cloud Computing überkompensiert werden.

4.3.1 Prozess des Managements von Risiken von Cloud Computing

In Anlehnung an die klassische Vorgehensweise des Risikomanagements ergibt sich das folgende Vorgehensmodell zum Risikomanagement:

Abbildung 4: Vorgehen zum Risikomanagement

4.3.1.1 Risiken identifizieren

Für die Identifikation der Risiken können bereits vorhandene Aufstellungen zu Risiken des Cloud Computings wie beispielsweise das Dokument der European Network and Information Security Agency (enisa) zum Thema "Cloud computing: Benefits, risks and recommendations for information security", die exemplarische Darstellung unter 4.1. hier oder andere Dokumente als Basis verwendet werden. Die Risiken sollten zunächst gesammelt, grob beschrieben und strukturiert werden (z. B. operative Risiken, vertragliche Risiken, Compliance-Risiken, ...).

In einem zweiten Schritt sollten dann die Ursachen für die Risiken benannt und mögliche Folgen zunächst beschrieben werden.

4.3.1.2 Risiken bewerten

Nach der Identifikation der Risiken sind Eintrittswahrscheinlichkeiten und Schadenshöhe zu schätzen. Es kommt in diesem Schritt nicht darauf an, ganz präzise Werte abzuleiten. Wahrscheinlich ist das auch nicht immer möglich. Gegebenenfalls kann man hier zunächst auch mit Werten für die Eintrittswahrscheinlichkeit in "sehr gering – gering – mittel – hoch – sehr hoch" arbeiten. Bei den Schätzungen der Schadenshöhe sind nur die unmittelbaren Auswirkungen anzusetzen (also keine Kosten, um die Schäden zu verhindern). Auch hier reicht eine Einstufung ähnlich der Vorgehensweise für die Eintrittswahrscheinlichkeit. Auch für die Ableitung dieser Werte lassen sich aus Dokumenten, wie dem oben erwähnten enisa-Papier Anhaltspunkte finden.

Im Ergebnis kann folgende sogenannte Risikolandkarte abgebildet werden:

Abbildung 5: Risikolandkarte

4.3.1.3 Risiken begrenzen

Auf der Basis der Risikolandkarte kann dann eine Priorisierung vorgenommen werden. Risiken mit vergleichsweise hoher Eintrittswahrscheinlichkeit und Schadenshöhe sollten naturgemäß mit Vorrang adressiert werden.

Für die einzelnen Risiken sollten Maßnahmen abgeleitet werden, durch die die Risiken, bei wirtschaftlicher Betrachtungsweise in einem noch tragbaren Rahmen bleiben. Zu den Maßnahmen können unter anderem gehören:

• Überarbeitung der Cloud-Verträge mit spezifischen Regelungen zur Datenmigration bei Anbieterwechsel
• Regelmäßige Überprüfung der Verträge
• Einholen von Einkünften zur wirtschaftlichen Situation des Anbieters
• Ausschließen des Cloud Computings für besonders schützenswerte Daten, Prozesse
• etc.