Cloud Computing kann im Unternehmen selbst stattfinden (Private Cloud), durch einen Dienstleister angeboten werden (Public Cloud) oder lässt sich im Mischbetrieb von Public und Private Cloud realisieren.
Risikobetrachtung
Für die Betrachtung der Risiken beschränken wir uns hier auf das Thema Public Cloud. Dann liegt ein Outsourcing-Fall vor, der besonders zu beachtenden Risiken mit sich bringt:
Lokalisierung der Daten nicht möglich
Eine Lokalisierung der Daten ist auf einfache Weise und insbesondere für den Dateneigentümer nicht mehr möglich. Noch kritischer: Es ist nicht klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software Daten gespeichert und verarbeitet werden. Insbesondere verschiedene Datenschutzgesetze können dazu führen, dass personenbezogene Daten nicht in einer Public Cloud liegen dürfen.
Zugriffskontrolle auf Daten sehr schwierig
Aufgrund des Distributed Computing lässt sich eine angemessene Zugriffskontrolle auf Daten nur schwer realisieren. Generell bestehen keine Möglichkeiten bei unterschiedlichen Kulturen und bei unterschiedlicher Rechtsprechung, Zugriffskontrollen durchgängig durchzusetzen. Zu beachten ist zudem insbesondere, dass nach Beendigung des Auftrags die verarbeiteten Daten und alle Zwischenergebnisse in der Public Cloud gelöscht werden müssen. Hier ist überhaupt nicht klar, wie dies technisch zu gewährleisten ist. Auch das Thema Mandanten-Trennung muss hier adressiert werden.
Insolvenz des Providers
Hier ist zu beachten, dass die Insolvenz eines Providers nicht bedeutet, dass alle Rechenzentren, die der Provider für Cloud Computing verwendet hat, ebenfalls insolvent sind. Rechenzentren werden bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft. In all diesen Fällen ist nicht klar, wie sich die Daten vor unberechtigtem Zugriff schützen lassen.
Beschlagnahmung von Hardware
Eine Beschlagnahmung von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen betreibt. Die Beschlagnahmung kann aus vielerlei Gründen erfolgen, die nicht durch den Auftraggeber verantwortet werden. Sehr wohl können sich aber Daten des Auftraggebers auf beschlagnahmten Servern befinden. Zudem können Log-Daten auf Servern und Routern Schlussfolgerungen über die Geschäftstätigkeit des Auftragnehmers ermöglichen und zwar auch dann, wenn keine sonstigen Geschäftsdaten vorliegen.
Bild 1: Eines der Risiken des Cloud Computing ist der mögliche Handel mit Ressourcen
Handel mit Ressourcen wird denkbar
Derzeit ist noch nicht ersichtlich, inwieweit Provider von Cloud Computing einen Handel mit ihren Ressourcen untereinander aufbauen werden. Sogar Eine "Ressourcenbörse" wie in Bild 1 ist denkbar. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten. In Leistungsspitzen würde sich zum Beispiel der Preis für CPU Stunde erhöhen und auf der Börse entsprechend in den Handel kommen. Welche Konsequenzen dies für die Sicherheit der Daten hat, ist noch vollkommen unklar.
Problematik mit Subunternehmern
Ein weiteres Problem stellt die Auftragsabgabe an Subunternehmer dar. Der Provider kann ja nach Belieben für gewisse Leistungen Subunternehmer verpflichten. In einer Public Cloud bleibt diese Komplexität dem Benutzer vollkommen verborgen (und soll ja im Sinne der Philosophie des Cloud Computing auch verborgen bleiben).
Erpressungsversuche
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis, der die Ressourcen der Cloud administriert, unüberschaubar groß ist. Zu beachten ist hier, dass das eingesetzte Personal im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein verfügt. Ebenso sind die Motivationslagen der Mitarbeiter in vielen Ländern nicht kalkulierbar.
Seite 1 von 2 Nächste Seite>>
