Suchen

Themen-Special zu Sicherheit und Wirtschaftlichkeit von Cloud Computing (Teil 2)

Risikoanalyse mit speziellen Cloud-Risiken

Seite: 2/2

Firma zum Thema

Bei einer "Man in the Middle"-Attacke hat der Angreifer die vollständige Kontrolle über den Datenverkehr.
Bei einer "Man in the Middle"-Attacke hat der Angreifer die vollständige Kontrolle über den Datenverkehr.
(Bild: Dr. Daniele Fiebig )
6. Man in the Middle Attacke (MITM)

Hierbei handelt es sich um eine Attacke, bei der Daten über eine Zwischenstation an den Empfänger gesendet werden, ohne dass der Empfänger merkt, dass seine Daten schon gelesen oder sogar verändert wurden.

7. Distributed Denial of Service Attacke (DDoS)

Diese Attacke zielt auf Überlastung von Ressourcen (Webserver, Router, Gateway, …) durch das massenhafte Senden von Anfragen oder Datenpaketen. Ergebnis ist der Ausfall von Ressourcen und Services bzw. des Netzwerkes.

8. Verlust von Identitäten, Passwörtern und PIN-Codes

Die Nachrichten sind voll von Beispielen für Identitätsraub und Veröffentlichungen ganzer Kundendatenbanken z. B. Apple. Deshalb kommt der Authentifizierung und Autorisierung (Access-Management) bei der Cloud-Nutzung eine besondere Bedeutung zu.

9. Datenschutzverstöße

Neben Vertraulichkeit, Integrität und Verfügbarkeit müssen weitere Datenschutzvorgaben durch die Unternehmen gewährleistet oder deren Einhaltung kontrolliert werden, wie z. B. Aufbewahrungspflichten, Löschpflichten, Trennungsgebot und Verwendungsnachweis.

Unabhängig von Standort des Cloud-Providers ist es für Cloud-Nutzer aufwändig, Verstöße gegen diese globalen Datenschutzanforderungen zu verhindern oder aufzudecken.

10. Innentäter

Sowohl im eigenen Haus als auch beim Provider gibt es Administratoren mit erhöhten Zugriffsrechten, die ein erhebliches Gefahrenpotential darstellen. Privilegierte Benutzerkonten, besonders die, die ein Cloud-Kunde nicht überwachen kann, stellen damit zentrale Schwachstellen dar. Der Handel mit Unternehmensdaten oder Steuersünder-CDs ist inzwischen ein einträgliches Geschäft.

Distributed Denial of Service (DDoS) stellen eine ernstzunehmende Gefahr dar.
Distributed Denial of Service (DDoS) stellen eine ernstzunehmende Gefahr dar.
(Bild: Dr. Daniele Fiebig )

Aussagekräftige Risikobetrachtung

Bei genauerer Analyse finden sich in jeder Branche und in jeder Cloud-Umgebung weitere Risiken, da nicht nur personenbezogene Daten zu den Hackerzielen gehören, sondern in besonderen Maße Geschäfts- und Entwicklungsunterlagen.

So erstaunt schon das Ergebnis einer Studie des Ponemon Institute „The State of Data centric Security“, welche besagt, das Unternehmen häufig nicht wissen, wo sensiblen Unternehmensdaten gelagert werden, welchen Schutzbedarf diese Daten besitzen und wie diese Daten ausgetauscht werden. Das heißt zu einer aussagekräftigen Risikobetrachtung gehört eine Schutzbedarfsfeststellung für die Unternehmensdaten sowie deren sinnvolle Klassifizierung. Besonders für die Planung einer hybriden Cloud-Lösung benötigen Unternehmen ein schlüssiges Konzept zur Datenklassifizierung.

Ein effizientes Risikomanagement kann Trends bezüglich der unterschiedlichsten Bedrohungen rechtzeitig anzeigen und damit die Reaktionsmöglichkeiten für die Unternehmen erhöhen.

Themenschwerpunkt: In die Cloud? JA, aber überlegt!

Dieser Artikel ist der zweite Teil einer sechsteiligen Reihe, die sich mit grundlegenden Aspekten rund um Cloud Computing beschäftigt.

Die Themen im Überblick:

Teil 1:Einführung: Ist-Situation Cloud Computing

Teil 2 – Risikoanalyse mit speziellen Cloud-Risiken

Teil 3:Wirtschaftlichkeitsbetrachtungen für die Cloud-Einführung

Teil 4:Identitäts- und Access Management in der Cloud

Teil 5:IT-Sicherheit in der Cloud

Teil 6:Rechtliche Rahmenbedingungen

Ergänzendes zum Thema
Die Autorin

Frau Dr. Daniele Fiebig ist freiberuflich als Projektleiter und Berater im IT-Bereich tätig. Zu ihren fachlichen Schwerpunkte gehören IT-Infrastruktur und Softwareentwicklung, IT Service Management und ITIL, Prozess- und Organisationsstrukturen, IT-Sicherheit und Projektmanagement.

Frau Dr. Fiebig ist zudem PRINCE2 Professional, ITIL v3 Expert, ISO/IEC 27001 und ISO/IEC 20000 Consultant und Lead Auditor, Weiterbildung IT-Grundschutz und BPMN 2.0.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 42937263)