Title (deu): Einfluss von Cloud Computing auf die Information Security Strategy und das Information Security System

Author: Hecht, T. (Thomas)

Description (deu): St. Pölten, FH-Stg. Information Security, Dipl.-Arb., 2011

Description (deu): Cloud Computing wurde in den letzten Jahren Schritt für Schritt zu einer wichtigen Technologie. Dieser stetig ansteigende Beliebtheits- und Bekanntheitsgrad ist unter anderem dem ökonomischen Charakter dieses Dienstleistungsmodells zuzuschreiben. Neben einigen Vorteilen, wie beispielsweise erhöhte Flexibilität, Business-Agilität, Komplexitätsreduktion, verbrauchsabhängige Bezahlung und Skalierbarkeit, ist es notwendig, auch die negativen Aspekte zu betrachten. Hierbei stellt in erster Linie der Sicherheitsfaktor dieses Netzwerkmodells einen kritischen Bereich dar. In diesem Zusammenhang stellt der Einfluss von Cloud Computing auf die „Information Security Strategy“ und das „Information Security System“ einen wichtigen Aspekt dar. Dabei ist sowohl die Provider-, als auch die Nutzerseite betroffen. Allgemein stellen vor allem für Unternehmen, welche eine IT-Auslagerung in einer bestimmten Form zu einem Cloud-Provider geplant haben, die sicherheitskritischen Nachteile eine Hürde dar, welche es gilt zu überwinden. Zahlreiche sicherheitsrelevante Cloud-spezifische Risiken und Schwachstellen deuten darauf hin.Weiters dürfen die Aspekte des Informationslebenszyklus und des Unterschieds zwischen dem Cloud-Computing- und dem Outsourcingmodell nicht außer Acht gelassen werden. Damit sowohl die Provider, als auch die Nutzer (in erster Linie Unternehmen) geeignete Maßnahmen zur Umsetzung von Cloud-Computing-Vorhaben treffen können, ist das Heranziehen aktueller Informationssicherheitsmanagementwerke (Normen, Standards, Best Practice- Werke, etc.) unausweichlich. Da gegenwärtig kein Standard für die Sicherheit bei Cloud Computing existiert, stellen die ISO/IEC 27001/2, die BS 25999, CobIT, so wie die ISO 20000 & ITIL v3 eine ausführliche Sammlung dar, geeignet im Aspekt der Sicherheit vorzugehen. Weiters gilt es für Unternehmen bei der Umsetzung und dem Betrieb von Cloud-Computing-Lösungen die Compliance und den Datenschutz zu berücksichtigen. Letzteres kann vor allem bei einer Datenverteilung ins Ausland zu einem komplizierten Faktor werden. Mit Hilfe von Service Level Agreements soll eine geeignete vertragsrechtliche Grundlage, zwischen dem Nutzer und dem Provider, geschaffen werden. Diese Arbeit geht den Fragen nach dem Einfluss von Cloud Computing auf die Information Security Strategy und dem ISMS, und dem ansatzweisen Umgang mit diesbezüglichen Risiken und Chance (innerhalb des eigenen ISMS) nach.

Description (eng): Step by step cloud computing became an important technology in the last few years. The level of popularity and awareness rises continuously because of the economical character of this service model, which is one aspect among others. Beside many advantages, for example higher flexibility, business agility, complexitiy reduction, consumption depending payment and scalability, it is necessary to consider the negative aspects also. At first the aspect of security is a critical area. In this context the influence of cloud computing on the information security stratgey and the information security system is very important to consider. At this both, the provider and the user, are affected. In general companies among others, which have planned to outsource their IT to cloud computing provider, have to leap the hurdle of the security critical disadvantages. Many security relevant cloud computing specific risks and vulnerabilities indicate this fact. Furthermore the aspects of the information life cycle and the difference between cloud computing and traditional outsourcing must not be ignored. In order that provider and user (at first companies) can meet applicable measures to implement cloud computing, it is necessary to use the latest information security management writings (standards, best practice writings etc.). Since there is standard for cloud computing security, the ISO/IEC 27001/2, BS 25999, CobIT and the ISO/IEC 20000 & ITIL v3, are a good and detailed collection to lead the way of security. Further on companies have to consider compliance and data privacy. Particulary data privacy will get complicated, if data distribution would happen abroad. Service level agreements help to get an applicable contract between the user and the provider. This paper goes further into the questions of the influance of cloud computing to the information security strategy and the information security system, and the rudimentarily handling of the risks and chances inside of the own ISMS.

Object languages: German

Date: 2011

Rights: © All rights reserved

Classification: Cloud Computing; Information; Sicherheit

Permanent Identifier