Industriespionage durch Cloud Computing

Aus Winfwiki

Namen der Autoren:	Michael Havers, Stefan Klewer, Gregor Schlingermann
Titel der Arbeit:	"Industriespionage durch Cloud Computing"
Hochschule und Studienort:	FOM Düsseldorf

Inhaltsverzeichnis 1 Abkürzungsverzeichnis 2 Abbildungsverzeichnis 3 Tabellenverzeichnis 4 Einleitung 5 Industriespionage 5.1 Definition 5.2 Arten der Spionage 5.2.1 Offene Beschaffung 5.2.2 Geheime Beschaffung 5.2.2.1 Telekommunikations Technologien 5.2.2.2 Informations Technologien 5.3 Besonders gefährdete Daten 5.3.1 Industriesegmente 5.3.2 Unternehmensbereiche 5.4 Rechtliche Lage 5.5 Marktwert der erspähten Daten 5.6 Verursachte Schäden 6 Cloud Computing 6.1 Definition 6.2 Service Delivery Arten 6.2.1 IaaS 6.2.2 PaaS 6.2.3 SaaS 6.3 Deployment Kategorien 6.3.1 Private 6.3.2 Public 6.3.3 Managed 6.3.4 Hybrid 6.4 Herausforderungen für Konsumenten 7 Gefährdungspotentiale durch Cloud Computing 7.1 Organisatorische und rechtliche Betrachtung 7.1.1 Standort der Daten 7.1.2 Access- und Identitymanagement 7.2 Technische Betrachtung 7.2.1 Datentransport 7.2.2 Datenhaltung 8 Schutzmaßnahmen 8.1 Organisatorisch 8.1.1 Standardisierung und Zertifizierung 8.1.2 IT-Sicherheit 8.1.2.1 Grundschutzansatz 8.1.2.2 Detaillierte Risikoanalyse 8.1.2.3 Auswertung 8.1.3 Aufbauorganisation 8.1.4 Ablauforganisation 8.2 Rechtlich 9 Schlussbetrachtung 10 Fußnoten 11 Literatur- und Quellenverzeichnis

1 Abkürzungsverzeichnis

Abkürzung	Bedeutung
.NET	Siehe DOTNET
AktG	Aktien Gesetz
BKA	Bundeskriminalamt
BRD	Bundesrepublik Deutschland
BSI	Bundesamt für Sicherheit in der Informationstechnologie
DBMS	Datenbank Managementsystem
DECT	Digital Enhanced Cordless Telecommunications
DOTNET	Softwareplattform von Microsoft
EDV	Elektronische Datenverarbeitung
EG	Europäische Gemeinschaft
FBI	Federal Bureau of Investigation
FOM	Fachhochschule für Ökonomie und Management
GLBA	Gramm-Leach-Bliley Act
GM	General Motors
GmbHG	GmbH Gesetz
GSM	Global System for Mobile Communication
HIPAA	Health Insurance Portability and Accountability Act
IaaS	Infrastructure as a Service
ISO	International Organization for Standards
IT	Informationstechnologie
ITIL	IT Infrastructure Library
ITSEC	Information Technology Security Evaluation Criteria
IuK	Informations- und Kommunikationtechnik
KMU	Kleine und mittlere Unternehmen
PaaS	Platform as a Service
PHP	PHP Hypertext Preprocessor bzw. Personal Home Page Tools
SAN	Storage Area Network
SaaS	Software as a Service
SOA	Service orientierted Architecture
SOx	Sarbanes-Oxley Act
SPI	Software, Platform, Infrastructure
TCSEC	Trusted Computer System Evaluation Criteria
TMG	Telemedien Gesetz
VW	Volkswagen

2 Abbildungsverzeichnis

Abb.-Nr.	Abbildung
1	Computerkriminalität
2	Menschlicher Verursacher von Gefahren für die IuK-Sicherheit
3	Geschädigte Branchen
4	Angriffsziele der Industriespionage
5	Schäden nach Unternehmensgröße
6	Überblick Cloud Computing Dienste
7	SPI-Hierarchiemodell
8	Module der Cloud Computing Services
9	Cloud Computing Service Deployment Übersicht
10	Cloud Computing Sicherheitsmodell
11	Einordnung Risikoanalyse
12	Gefahrenpotential bei der Nutzung von Cloud Computing
13	Tradeoff bei der Nutzung von Cloud Computing

3 Tabellenverzeichnis

Tab.-Nr.	Abbildung
1	Besonders gefährdete Industriezweige

4 Einleitung

Diese Arbeit entsteht im Rahmen der Fallstudie II des Wirtschaftsinformatik Studiums an der Fachhochschule für Ökonomie und Management (FOM) am Standort Düsseldorf.

Das Thema Cloud Computing ist im Jahr 2009 eines der Top-Hypebegriffe der IT-Welt. Nahezu täglich kündigen weitere Unternehmen die Unterstützung des Service- und Kooperationsmodells Cloud Computing an. Ist der Ansatz des Cloud Computing noch sehr jung, so ist es für viele Unternehmen doch bereits eine ernste Alternative gegenüber dem Betreiben eines eigenen Rechenzentrums.

Die Auslagerung der eigenen Daten und Geschäftsprozesse in eine fremde Umgebung birgt jedoch neue Schwachstellen, Gefahren und Herausforderungen insbesondere in Bezug auf neue Möglichkeiten der Industriespionage. Laut einer Studie des Sicherheitsspezialisten McAfee entstanden 2008 durch Datenlecks und Diebstahl geistigen Eigentums ein wirtschaftlicher Schaden von mehr als 770 Milliarden Euro^[1]. Durch den zunehmenden Trend des Einkaufs externer IT-Dienste, z.B. in Form von Cloud Computing, wird das Schadenspotenzial noch erhöht.

Diese Arbeit fokussiert das Problem "Industriespionage durch Cloud Computing". Sie definiert die Begriffe Cloud Computing und Industriespionage kurz, um im Folgenden die resultierenden Gefahren der Industriespionage durch den Einsatz von Cloud Computing darzustellen. Die gewonnenen Erkenntnisse werden im Weiteren für Schutzmaßnahmen und Handlungsempfehlungen herangezogen.

5 Industriespionage

Im Jahre 553 vor Christus wurden durch den oströmischen Kaiser Justinian zwei Mönche nach China entsandt um das Geheimnis der Seidenherstellung zu erspähen. Die gewonnenen Informationen, einschließlich der entwendeten Seidenraupen waren Grundstock für die oströmische Seidenindustrie. Der Erfolg dieser wichtigen Einnahmequelle des Reiches basierte auf der als erstes datierten Form der Industriespionage ^[2].

Im Folgenden werden die heutigen Formen der Industriespionage näher dargestellt.

5.1 Definition

Der Begriff Industriespionage beschreibt zunächst das Ausspähen von Daten konkurrierender Unternehmen. Daher wird auch oftmals von Konkurrenzausspähung gesprochen.

Definiert man den Begriff Industriespionage aus rechtlicher Sicht, impliziert er auch, dass bei der Analyse des Marktes, der Konkurrenten oder deren Produkte gegen das Gesetz unlauteren Wettbewerbs verstoßen und daraus eine Straftat resultiert.

Die klare Abgrenzung zwischen legalem und illegalem Ausspähen ist sowohl in Deutschland als auch international allerdings nicht eindeutig. Die Wirtschaftsspionage wird im Englischen als Competitive Intelligence bezeichnet und beschreibt das vom Staat initiierte Ausspähen von zu meist ausländischen Unternehmen. Oftmals wird dieser Begriff auch als Überbegriff oder Synonym für Wirtschafts- und Industriespionage genutzt. ^[3]

5.2 Arten der Spionage

Die gezielte Informationsbeschaffung ist der wichtigste Bestandteil der Spionage und bildet dessen Basis. In einem zweiten Schritt werden die gewonnenen Informationen aufbereitet, um diese für die eigenen Zwecke nutzen oder auch missbrauchen zu können. Um möglichst viele Informationen zu erlangen, wird eine Vielzahl von Quellen genutzt.

Man differenziert bei der Informationsbeschaffung zwischen der offenen und der geheimen Beschaffung.

5.2.1 Offene Beschaffung

Im Zuge der zunehmenden Informationspflicht, besonders jene der börsennotierten Unternehmen gegenüber ihren Aktionären, können bereits durch die Analyse von frei zugänglichen Veröffentlichungen wertvolle Informationen über ein Unternehmen gewonnen werden.

Zusätzlich werden diese mit Fakten aus Datenbanken und dem Internet ergänzt.

Durch die aufmerksame und bewusste Teilnahme an Messen, Fachkongressen, Vorträgen oder sonstigen Veranstaltungen lässt sich, wie auch in den bereits erwähnten Methoden, ganz legal Wissen gewinnen.

Mit der Einbeziehung von Personen als Quelle, beispielsweise durch persönliche Gespräche, wird die schwammige Grenze zwischen Legalität und Illegalität deutlich. Der Mensch ist als Wesen stark beeinflussbar. Die Grenze zwischen hohem Interesse und Manipulation ist fließend. Die Anfälligkeit für "Social Engineering", dem gezielten Missbrauch von Autorität, Hilfsbereitschaft und Vertrauen, variiert zwar je nach Persönlichkeit, ist aber ein Hauptgrund für den ungewollten Informationsabfluss. Aufgrund der Effizienz und der schlechten Beweisbarkeit, ist "Social Engineering" die am häufigsten eingesetzte Methode der offenen Beschaffung ^[4].

Durch diese hohe Anfälligkeit für "Social Enigneering" ist es gängige Praxis, Mitarbeiter konkurrierender Unternehmen abzuwerben, um auf diese Weise an Insiderinformationen zu kommen. In den meisten Fällen verstoßen die Mitarbeiter somit gegen die Verschwiegenheitsklausel ihrer ehemaligen Arbeitgeber.

Beim Outsourcing von Aufgaben oder sogar ganzen Abteilungen gibt es analog zu der Verschwiegenheitsklausel Verträge, die eine Weitergabe des erworbenen Wissens beschränken oder ganz untersagen. Letztendlich gibt aber ein Unternehmen durch Outsourcing bewusst Wissen an Dritte weiter ^[5].

5.2.2 Geheime Beschaffung

Im Gegensatz zum Abwerben von Informationsträgern von fremden Unternehmen, bietet die Positionierung von Informanten in diesen Unternehmen den Vorteil des stetigen Informationsflusses aktueller Daten.

Das Einsetzen sogenannter Insider ist eine illegale Methode und im Sinne der §§331-334 StGB strafbar. Die Kriminalität und Undurchsichtigkeit der genannten und der nachfolgenden Methoden spiegeln typische Eigenschaften der Kategorie der geheimen Beschaffung wider ^[7].

Mit Einzug der Telekommunikations- und Informationstechniken in nahezu alle Unternehmensbereichen, sind diese Techniken für die Informationsbeschaffung ein idealer Angriffspunkt. Dies belegt auch die aktuelle Kriminalstatistik des BKA (vgl. Abbildung 1). So stieg die Computerkriminalität in den Jahren 2006 zu 2007 um 6,4%. Unter die Computerkriminalität fällt auch das Ausspähen und Abfangen von Daten mit einem Anstieg von ca. 60% ^[8]. Auch das Einholen von Insiderinformationen, die in der Statistik unter den Straftaten Vorteilsannahme-Bestechlichkeit und Vorteilsgewährung-Bestechung auftauchen, nahmen um 24,5% und 37,6% zu ^[9]. Die Statistik belegt, dass der illegale Informationsabfluss, auch mit Hilfe von IT-Systemen rapide zunimmt. Die Statistik spiegelt nur die registrierten Fälle wider, die Dunkelziffer dürfte weitaus höher sein.

5.2.2.1 Telekommunikations Technologien

Im Bereich der Telekommunikation besteht das besondere Interesse des Spähers darin, die Daten, in diesem Fall also hauptsächlich Sprachinformationen, mitzuschneiden ^[11]. Allgemein steigt die Schwierigkeit des Abhörens mit der zunehmenden Entfernung zum Zielobjekt. Die Installation einer Wanze am Telefon ist auch mit geringen Kenntnissen durchführbar. Das "Anzapfen" des Netzes im Bereich der Telekommunikation hingegen kann nur durch Experten durchgeführt werden, der zudem auch noch Zugang zur Vermittlungstechnik haben muss. Die Wahrscheinlichkeit unmittelbar durch die Zielperson oder das Zielunternehmen entdeckt zu werden, sinkt mit der Entfernung zum Zielobjekt ^[12].

Eine weitere Gefahr im Bereich der Telefonie entsteht durch die Benutzung von schnurlosen DECT-Telefonen, da der Verkehr zwischen Handapparat und Basisstation mit spezieller Hard- und Software mitgehört werden kann. Bei der Mobilfunktechnologie GSM findet dieses Verfahren aufgrund hoher technischer Hürden allerdings keine Anwendung ^[13].

Durch die Fernwartungsmöglichkeiten vieler moderner TK-Anlagen eröffnen sich für Angreifer neue Wege, Verbindungsdaten zu erspähen ^[14].

5.2.2.2 Informations Technologien

Die Sicherheitsprobleme von Telefonnetzen können auf Datennetze übertragen werden. Datennetze stellen ein besonders geeignetes Medium dar, um Informationen abzugreifen oder zu manipulieren.

Die Vernetzung von Informationen und Wissen ist einer der entscheidenden Vorteile die der Einsatz von IT-Systemen mit sich bringt, zeitgleich aber auch eine der größten Gefahren. Erhalten Unbefugte Zugriff auf Firmennetzwerke, so haben sie je nach etablierten Schutzmaßnahmen auch direkten Zugriff auf wichtige und geheime Informationen. Durch den Gebrauch von Informationstechnologie sind Daten wesentlich kompakter, strukturierter und meist auch zentraler gespeichert.

In Verbindung mit den schnellen Übertragungsgeschwindigkeiten heutiger Datenleitungen, mit dessen Hilfe in kurzer Zeit riesige Datenmengen transportiert werden können, stellt der Datenklau per Datenleitung ein großes Problem dar. Aufgrund von unzureichenden Sicherheitsmaßnahmen wird der Datenklau oft sehr spät oder gar nicht vom Opfer bemerkt ^[15].

Diese Sicherheitsproblematik wird durch den Menschen verschärft. Auch bei einem durchdachten Zugangskonzept bleibt der Mensch als Risiko bestehen. (vgl. Abbildung 2)

5.3 Besonders gefährdete Daten

Die Gefahr dass bestimmte Daten bzw. Informationen erspäht werden, ist eng mit dem für den Spion resultierenden Nutzen verknüpft. Die Ausspähung noch nicht patentierter Verfahrenstechniken ist beispielsweise wesentlich attraktiver als von bereits patentierten Techniken. Somit ist das Risiko für diese Daten wesentlich höher als beispielsweise für jene bereits patentierter Verfahrenstechniken.

5.3.1 Industriesegmente

Das verschiedene Industriesegmente sehr unterschiedlich von Industriespionage betroffen sind, hängt unmittelbar mit der Innovation und dem Wachstum der jeweiligen Branche zusammen.

Nach einer Studie des FBI sind die in Tabelle 1 dargestellten Industriebereiche für die Ausspähung von besonderem Interesse.

Segment	Komponente / Techniken
Biotechnologie / Medizin	Angewandte Molekularbiologie, Medizintechnik
Energie / Umwelttechnik	Filtertechnik; Emissionskontrolle
Information / Kommunikation	Software; Mikro- und Optoelektronik; Hochleistungsrechner und Netzwerke; Hochdefinitions-Bildtechnik; Sensor- und Signaltechnik; Datenspeicher- und Peripheriegeräte; Computersimulation
Materialtechnik	Materialsynthese, elektronische und photonische Materialien und Keramik, Verbundwerkstoffe, Hochleistungsmetalle und Legierungen
Produktionstechnik	Flexible computergesteuerte Fertigung; Mikro- und Nanofabrikation; Systemmanagement-Technologien

Tabelle 1: Besonders gefährdetete Industriezweige ^[17]

In der durch die Unternehmensberatung Corporate Trust durchgeführten Studie "Industriespionage", bei der 7500 durchschnittliche deutsche Unternehmen befragt wurden, spiegeln sich die Ergebnisse dieser FBI Studie wider ^[18].

Im besonderen Maße wurde die Automobil-, Luftfahrzeug-, Schiffs- und Maschinenbaubranche durch Industriespionage geschädigt (vgl. Geschädigte Branchen). Dies deckt sich mit dem besonderen Interesse der Spione an Produktionstechniken. Das Interesse an Materialtechnik findet sich in den Branchen Eisen und Stahl, Metallverarbeitung und Grundstoffe wieder, die 21,8 % der durch Industriespionage Geschädigten ausmachen.

Sowohl der Medizin- und Pharmaziesektor als auch die Banken- und Finanzdienstleistungsbranche waren nach eigenen Angaben nicht von Industriespionage betroffen. In Anlehnung an die Studie des FBI lässt sich allerdings vermuten, dass die Medizin- und Pharmaziebranche sehr wohl von Informationsabfluss betroffen ist. Aus Diskretion machen diese jedoch keine Angaben.^[19]

5.3.2 Unternehmensbereiche

Wie sich aus Abbildung 4 erkennen lässt, unterteilt Porter die Ziele in die Mittel und Objekte der Zielerreichung. Besonders die Mittel sind von Ausspähung betroffen, da sie die Wege zur Zielerreichung aufzeigen. Neue Forschungsergebnisse oder Personal mit hoher Kompetenz und großem Fachwissen sind für konkurrierende Unternehmen von besonderem Interesse ^[22].

Anders als vermutet ereignen sich die meisten Fälle des Datenabflusses nicht im Bereich von Forschung und Entwicklung, sondern im Vertrieb. Dieser Fachbereich ist in 20% der Fälle vom Sachverhalt der Industriespionage betroffen, gefolgt von Forschung und Entwicklung mit 16,1% und Personal mit 14,7% ^[23].

In diesem Zusammenhang wurde in der Studie der Corporate Trust auch die Größe der geschädigten Unternehmen mit dem Ergebnis untersucht, dass es sich in 96,1% der Fälle um KMUs und nur bei 3,9% um Konzerne handelt (vgl. Abbildung 5) ^[24].

Der wohl bekannteste Fall von Industriespionage ereignete sich atypischerweise in einem Konzern. José Ignacio López, der als Chefeinkäufer des GM Konzerns durch seine Vorgehensweise im Einkauf die Kosten des Konzern rapide senken konnte und nachhaltig die Zulieferungsindustrie prägte (später als "López Effekt" bekannt geworden), wechselte am 16. März 1993 in das Vorstandsressort Produktionsoptimierung und Beschaffung zum VW Konzern. Wenig später folgten sieben weitere GM-Mitarbeiter. Am 30. April des selben Jahres stellen GM und die deutsche Tochter Opel Strafantrag gegen López, wegen Verdachts des Geheimnisverrats. Im Januar 1997 einigten sich VW und GM außergerichtlich. VW zahlte GM 100 Millionen Dollar und kaufte Autoteile für 1 Millarde. Dieser Fall zeigt ganz konkret dass Wissensträger für Unternehmen besonders wertvoll sind und daher der Personalbereich im besonderen Maße von Industriespionage betroffen ist ^[25].

5.4 Rechtliche Lage

In der Industriespionage wird sich nicht ausschließlich illegaler sondern auch legaler Mittel bedient, indem frei zugängliche Daten analysiert und ausgewertet werden und die Täter sich somit auch nicht strafbar machen. Werden hingegen illegale Methoden eingesetzt, ist es oft sehr schwierig diese nachzuweisen. Daher werden Täter oftmals nur für die Straftaten, die in Zusammenhang mit der Spionage stehen, belangt, wie beispielsweise Einbruch, Diebstahl, Unterschlagung oder Erpressung ^[26].

Bei der Spionage durch Insider können diese für Vorteilsannahme, Bestechlichkeit, Vorteilsgewährung oder Bestechung nach den §§331-334 StGB zur Rechenschaft gezogen werden ^[27].

In Deutschland ist die Vorlagenfreibeuterei, auch Produktpiraterie genannt, nach Paragraph 18 des Wettbewerbsgesetzes zwar strafbar, wird aber nur in den seltensten Fällen überhaupt zur Anklage gebracht. Die ausspionierten Unternehmen fürchten oftmals einen Imageverlust, wodurch außergerichtliche Einigungen sehr gängig sind. Im internationalen Bereich gibt es teilweise gar keine Gesetzgebung, welche die Spionage und häufig daraus resultierende Produktpiraterie unter Strafe stellt. ^[28]

5.5 Marktwert der erspähten Daten

Der Marktwert der Daten richtet sich immer nach der Aktualität und der Relevanz für den Konkurrenten. Der Wert hängt natürlich auch mit der betroffenen Branche, und deren Umsatzstärken zusammen. Als Paradebeispiel für die Wertigkeit von erspähten Daten kann der größte Fall von Industriespionage herangezogen werden. Der Fall López lässt anhand des Vergleiches zwischen GM und VW in Höhe von rund 100 Millionen, annähernd darauf schließen, was die Daten und Kompetenzen die López und seine Mitarbeiter auf legalem und illegalem Weg in den VW Konzern einbrachten für eine Wertigkeit besaßen.^[29]

Schätzungen über den Marktwert von Daten, gestalten sich auch aufgrund der Illegalität des Datenverkaufs schwierig, stehen aber in engem Zusammenhang mit den daraus resultierenden Schäden für die Unternehmen, und können somit daran angelehnt werden.

5.6 Verursachte Schäden

Industriespionage ist eine Gefahr, die nur schwer bezifferbar ist und sich oftmals nur in Wahrscheinlichkeiten und Plausibilität wiederfindet.

Vor allem Manager sind es gewohnt, dass Kalkulationen spätestens langfristig konkrete Werte annehmen und sich in Euro und Cent ausdrücken lassen. Formlose beziehungsweise nicht konkretisierbare Gefahren werden von den meisten Menschen verdrängt. Entsteht ein Schaden durch diese Gefahr, wird oftmals versucht dies nicht in vollem Umfang wahrzunehmen, da die Gefahr nicht konkret existiert. Daher werden auch die wenigsten Fällen von Industriespionage durch externe Mitarbeiter oder Behörden aufgedeckt.

In Folge der daraus resultierenden hohen Dunkelziffern, spiegeln die in Statistiken erfassten Schäden nur ein geringen Teil der tatsächlichen Schäden wieder. ^[30] Eine zusätzliche Schwierigkeit bei der Berechnung der Schäden, ergibt sich durch die vielen Annahmen die getroffen werden müssen. So gestaltet sich beispielsweise die Schätzung der entgangenen Gewinne oder die Auswirkungen des Imageverlustes äußerst schwierig. Der tatsächliche Schaden durch Industriespionage, kann also nicht detailliert beziffert werden ^[31]. Die durch den Sicherheitsspezialisten McAfee durchgeführte Studie, welche zu dem Ergebnis kommt, dass 2008 durch Datenlecks und Diebstahl geistigen Eigentums weltweit ein wirtschaftlicher Schaden von mehr als 770 Milliarden Euro entstanden ist, kann dementsprechend nur als grobe Schätzung aufgefasst werden.^[32]

6 Cloud Computing

Cloud Computing stellt ein neues Paradigma und Servicemodell für IT-Sourcing dar. Dabei kann Cloud Computing als Transfer des Service orientierten Architektur-Gedankens (SOA) auf das IT-Management verstanden werden.

6.1 Definition

Cloud Computing beschreibt IT-Dienste, die ohne die Definition ihrer Infrastruktur angeboten werden. Dieses abstrakte Servicemodell wird grundsätzlich über das Medium Internet zur Verfügung gestellt. Diese Art der Bereitstellung wird im Weiteren Verlauf der Ausarbeitung in den Fokus gerückt. Abbildung 6 zeigt ein weites Spektrum angebotener Dienste.

Besonders häufig angeboten werden

• Speicherplatz
• Datenbanken
• Webanwendungen und
• End-Benutzer Software.

Der Konsument des Cloud Computing kann i.d.R. auf den Betrieb eigener IT-Ressourcen verzichten ^[34]. Durch die Nutzung von Cloud Computing kann somit der Betrieb teurer, eigener Rechenzentren entfallen. IT-Fixkosten werden dadurch operationalisiert. Unternehmen können sich auf ihre Kernkompetenzen konzentrieren und ihre IT zu großen Teilen outsourcen bzw. fremdbeziehen. Durch die Spezialisierung der Cloud Computing Anbieter werden hohe IT-Standards eingehalten.

Da der Betrieb eines eigenen Rechenzentrums für kleine und mittlere Unternehmen (KMU) in Relation zur Unternehmensgröße sehr teuer ist, sind es in erster Linie sie, die Cloud Computing Dienste in Anspruch nehmen. Cloud Computing ermöglicht ihnen die Nutzung einer qualitativ hochwertigen und professionell betriebenen IT.

6.2 Service Delivery Arten

Die Service Delivery Modelle des Cloud Computing werden in drei Arten unterteilt ^[37]. Diese Unterteilung nennt sich SPI-Modell wobei SPI für Software, Plattform und Infrastruktur steht ^[38]. Bei SPI handelt es sich um ein hierarchisches Modell (vgl. Abbildung 7 und 8).

6.2.1 IaaS

In dem Modell IaaS (Infrastructure as a Service) werden dem Konsumenten des Services unter anderem Berechnungs-, Speicher- und Netzwerkressourcen vermietet. Dabei ist der Konsument in der Lage auf Basis dieser Infrastruktur eigene Software oder Betriebssysteme einzusetzen. Der Konsument verwaltet und steuert die unter seiner Software befindliche Infrastruktur nicht, hat aber Möglichkeiten zur Steuerung des Host-Betriebssystems, dem Storage, eingesetzten Anwendungen und ggf. Netzwerkkomponenten^[39]. IaaS ist die Basis für PaaS und SaaS^[40].

6.2.2 PaaS

Beim Platform as a Service-Modell (PaaS) wird dem Konsumenten eine vom Provider unterstützte Plattform für den Einsatz seiner eigenen Software bereitgestellt. Typische, unterstützte Plattformen sind Java, Python, .NET oder auch PHP. Der Konsument hat in diesem Modell keinen Zugriff auf die Infrastruktur, jedoch auf seine eigenen Anwendungen und ggf. Konfigurationen der Hostingumgebung^[41]. PaaS erweitert das IaaS-Modell und baut auf der dadurch bereitgestellten Infrastruktur auf ^[42].

6.2.3 SaaS

Beim Modell SaaS (Software as a Service) mietet der Konsument vom Provider komplett verwaltete Anwendungen und Dienste die ebenfalls auf der Infrastruktur des Providers betrieben werden. Das Angebot ist über unterschiedliche Clients abrufbar. Clients können hier beispielsweise Thin Client-Interfaces oder Webbrowser sein. Der Konsument hat ausschliesslich konfigurativen Zugriff auf die Einstellungen seiner gemieteten Anwendungen und Dienste^[43]. SaaS baut auf PaaS auf und bildet die Spitze des SPI-Modells ^[44].

6.3 Deployment Kategorien

Die Einsatzarten des Cloud Computing teilen sich in vier Kategorien ^[46]. Die Kategorien unterscheiden sich maßgeblich durch ihr Vertrauensniveau zwischen dem Provider und dem durch den Cloud Computing Dienst erreichbaren Konsumenten.

Einem Konsumenten wird vertraut, wenn er Teil der rechtlichen oder vertraglichen Organisation ist. Dies betrifft im weitesten Sinne Mitarbeiter, Vertragspartner und Geschäftspartner.

Nicht vertrauenswürdig sind Konsumenten, die nicht logischer Bestandteil der rechtlichen oder vertraglichen Organisation sind ^[47].

Die Unterscheidung der Deployment Kategorien werden durch Abbildung 9 verdeutlicht und im Folgenden beschrieben.

6.3.1 Private

Private Clouds werden dem Konsumenten als eine dedizierte Umgebung oder einem dedizierten Service bereitgestellt. Die zu Grunde liegende Infrastruktur kann sich im Rechenzentrum des Konsumenten oder des Serviceproviders befinden.

Die Konsumenten der Private Clouds gelten in diesem Modell als vertrauenswürdig ^[48].

6.3.2 Public

Public Clouds stellen dem Konsumenten dedizierte (dedicated) oder geteilte (shared) Services und Umgebungen bereit. Die Infrastruktur obliegt physisch und rechtlich dem Serviceprovider.

Konsumenten der Public Clouds sind nicht vertrauenswürdig ^[49].

6.3.3 Managed

Managed Clouds stellen dem Konsumenten - wie auch die Public Clouds - dedizierte (dedicated) oder geteilte (shared) Services und Umgebungen bereit. Die Infrastruktur befindet sich jedoch physisch und rechtlich in der Domäne des Konsumenten.

Konsumenten von Managed Clouds können sowohl vertrauenswürdig als auch nicht vertrauenswürdig sein ^[50].

6.3.4 Hybrid

Hybride Clouds sind eine Kombination der privaten (private) und öffentlichen (public) Modelle. Eine hybride Cloud erlaubt den Informationsaustausch zwischen der privaten und der öffentlichen Cloud. Sie ermöglicht zudem die Kompatibilität und Portabilität über verschiedene Clouds hinweg. Die Infrastruktur kann vom Provider wie auch dem Konsumenten selbst bereitgestellt werden.

Konsumenten diese Modells können sowohl vertrauenswürdig als auch nicht vertrauenswürdig sein.^[51]

6.4 Herausforderungen für Konsumenten

Im Unternehmensumfeld ergeben sich beim Einsatz von Cloud Computing im Gegensatz zum klassischen IT-Betrieb neue Herausforderungen.

Grundsätzlich unterliegt die Nutzung externer Dienste (z.B. in Form von Cloud Computing) wie jede andere Schnittstelle zu Geschäftspartnern der Principal-Agent-Theorie. Die damit verbundenen Probleme der "hidden Action", "hidden Intention", "hidden Characteristics", "moral Hazard" und "adverse Selection" müssen bewältigt werden.

Eine technische Herausforderung wird es sein, IT-Security zu gewährleisten. Laut einer Studie der Universität Berkeley gibt es bei der Anbindung von Cloud Computing-Diensten über das Internet keine nennenswerten, von bisher angewendeten IT-Security Maßnahmen abweichenden Herausforderungen oder Probleme ^[52]. Dennoch gilt es abzuwägen, welche Risiken das in den meisten Anwendungsfällen des Cloud Computing genutze Medium Internet für die Sicherheit, Vertraulichkeit und Integrität der vormals unternehmensinternen Daten in sich birgt.

7 Gefährdungspotentiale durch Cloud Computing

Die Inanspruchnahme von Cloud Computing Diensten, in Form der bereits erwähnten Service und Deployment Arten, birgt besondere Sicherheitsrisiken, wenn diese von externen Dienstleistern bereitgestellt werden. Die Risiken sind i.d.R. zu denen identisch, die bei einem IT-Sourcing entstehen. Es gelten die klassischen IT-Schutzziele Authentizität, Integrität, Vertraulichkeit, Verfügbarkeit, Verbindlichkeit und der Datenschutz^[53]. Aus diesem Grund legt dieses Kapitel seinen Schwerpunkt auf die Cloud Computing spezifischen Gefährdungspotentiale und beschreibt deren Besonderheit. Im Folgenden werden diese Potentiale aus einer organisatorischen und rechtlichen und im Anschluss aus der technischen Sicht betrachtet.

7.1 Organisatorische und rechtliche Betrachtung

Die Auslagerung von Diensten hat einen Einfluss auf bereits vorhandene organisierte und rechtliche Strukturen und muss dementsprechend angepasst werden. Insbesondere dann, wenn die Daten den eigenen Sicherheitsbereich verlassen und in den Bereich des Dienstleisters übergehen. Im Anschluss wird im Speziellen auf den Standort der Daten sowie den Datenzugriff eingegangen.

7.1.1 Standort der Daten

Von entscheidendem Einfluss, welche Gesetze für die eingelagerten Daten gelten, ist der Standort des Cloud Anbieters und dessen Infrastruktur. Die selben Daten können zum gleichen Zeitpunkt an verschiedenen Orten auf der Welt gespeichert sein und unterliegen somit unterschiedlichen Datenschutzgesetzen. Zum Beispiel beschreibt der Artikel 4 der Europäischen Datenschutzrichtlinie, dass, sobald Datenschutz relevante Daten aus einem Nicht-EU Land zu einem Cloud-Anbieter mit Lokation in der EU transferiert werden, die nationale Datenschutzgesetzgebung des jeweiligen Landes gilt^[54]. Diese Richtlinie zeigt, in welcher Gefahr sich Daten bei verteilter Haltung befinden, die in Ländern mit geringem bzw. keinem Datenschutz gehalten werden.

Andere rechtliche Konsequenzen entstehen aus der Verankerung des Schutzes von Geschäftsgeheimnissen in der nationalen Gesetzesstruktur. Die Frage ist, ob Betriebsgeheimnisse einem bestimmten Schutz unterliegen. So kann es vorkommen, dass Daten von Regierungen, die nicht über dementsprechende Verfassungspassagen verfügen, abgerufen werden können, um die nationale Wirtschaft strategisch zu stärken^[55]. Es handelt sich in diesem Fall eindeutig um Wirtschaftsspionage und muss von dem Tatbestand der Industriespionage abgegrenzt werden.

7.1.2 Access- und Identitymanagement

Ein weiterer Bereich, der für eine Bedrohung in Bezug auf Spionage sorgen kann, ist dass zu schwach ausgelegte Access- und Identitymanagement. In der Regel wird die klassische Methode des Benutzernamens plus zugehörigem Passwort angewendet. Unterliegt das Passwort einer zu schwachen und nicht ausreichenden Passwort Richtlinie, welche Sonderzeichen, eine Mindestlänge und ein bestimmtes Wechselintervall vorgibt, vereinfacht dies die Erlangung des Passwortes durch Sozial Engineering, die zwischenmenschliche Beeinflussung. Zusätzlich verstärkt wird diese Schwachstelle durch ein häufig vorkommendes Phänomen, dass Nutzer ihre Passwörter im direkten Arbeitsumfeld platzieren und somit für andere leicht zugänglich sind. Einfache klassische Passwort-Verfahren können nur die Basis der Absicherung des persönlichen und berechtigten Zugriffs auf schützenswerte Ressourcen darstellen^[56]. Probleme können durch die Planung, Koordination, Kommunikation und Umsetzung der Richtlinien zwischen den beiden Parteien entstehen.

7.2 Technische Betrachtung

Die Systeme der Cloud Anbieter werden aus wirtschaftlichen Gründen auf Performance, Ressourceneffizienz und die freie Skalierbarkeit optimiert. Voraussetzung, um diese Optimierungen erfolgreich durchzuführen, ist der Einsatz spezieller Systemarchitekturen, wie zum Beispiel die Verwendung von virtuellen Maschinen oder Shared Storage. Bei geteilten Infrastrukturen, welche logisch von mehreren Parteien genutzt werden, stellen sich naturgemäß Fragen der Sicherheit in Bezug auf Datenhaltung und Datentransport^[58]. Abbildung 10 zeigt sehr deutlich die unterschiedlichen Sicherheitslevel in Bezug auf die Service Delivery Arten des Cloud Computing. Im Folgenden werden die Sicherheitsprobleme, getrennt nach den Ebenen des Datentransports und der Datenhaltung, erläutert.

7.2.1 Datentransport

Charakteristisch für die Kommunikation mit einer externen Cloud-Anwendung ist der Transport der Daten über das Internet. Dabei werden die Daten an vielen Punkten im Internet übergeben und verlassen sehr früh das Netz des Konsumenten und somit seinen verantworteten Sicherheitsbereich. Diese Übergabepunkte sind potentielle Risiken, an denen der Datenverkehr aufgezeichnet werden kann. Erhöhtes Risikopotential besteht gerade im Übergang auf die Netze des Dienstleisters. Diese Netzarchitektur und der Zugang zu dieser sind dem Konsumenten völlig unbekannt. Besondere Gefahr geht von Mitarbeitern, Herstellern und Besuchern aus, welche über die entsprechende Fach-, System- und Gebäudekenntnis verfügen^[59].

Diese können den Datenstrom ohne Weiteres aufzeichnen und im Anschluss analysieren, dementsprechend verwenden und einem potentiellen Auftraggeber zuführen. Des Weiteren ist der illegale Eingriff in den Datenverkehr äußerst schwierig zu detektieren und liegt im Fall eines externen Dienstleisters in seinem Verantwortungsbereich.

Sicherheitsrisiken betreffen nicht nur die Kommunikation zwischen Anwendung und Nutzer, sondern treten auch bei der Kommunikation zwischen den Applikationen, der sogenannten Intra- und Interhost Kommunikation, auf. Gerade innerhalb verteilter Netze werden auf Datenbanken und Webservices zugegriffen, die auf benachbarten oder weit entfernten Systemen bzw. virtuellen Maschinen ihre Arbeit verrichten. In diesem speziellen Beispiel benachbarter virtueller Maschinen auf einem gemeinsamen Hostsystem greifen die klassischen Sicherheitswerkzeuge, wie z.B Firewalls, nicht, da der Datenverkehr nicht über den normalen Ethernet Weg ausgetauscht wird, sondern im Speicher des Hostsystems an die entsprechenden virtuellen Maschinen adressiert wird^[60].

7.2.2 Datenhaltung

Die Bereitstellung von großen Mengen Speicherkapazität erfolgt durch geteilte Speicher Infrastrukturen, sogenannte Multi-Tenancy Architekturen. Diese Technik ermöglicht dem Cloud Anbieter eine für ihn ökonomische Mandantenkonsolidierung. Diese Konsolidierung bedeutet, dass auf die gleichen Speicherarchitekturen, sei es eine Datenbank oder ein SAN, mehrere Parteien zugreifen. Hierbei besteht die Gefahr, dass das unausgereifte DBMS oder der überprivilegierte Applikationsserver, welcher als Super User auf die Datenbank zugreift, kompromittiert wird. Daraus würde der volle Zugriff auf die sensiblen Daten aller anderen Klienten auf diesem System resultieren. Es stellt sich die Frage, ob die Daten, die physikalisch auf dem gleichen System liegen, logisch ausreichend voneinander getrennt sind, sodass ein Abgreifen der Daten verhindert und eine vollständige Isolation einzelner Mandanten garantiert werden kann^[61].

8 Schutzmaßnahmen

Neben der Anwendung etablierter IT-Sicherheitsgrundsätze und -richtlinien ist die Durchführung organisatorischer und rechtlicher Maßnahmen möglich, um die skizzierten Gefährdungspotentiale einzudämmen.

8.1 Organisatorisch

Der Begriff Organisation wird sowohl im Zusammenhang von Strukturen und Ordnung als auch im Bezug auf die Steuerung von Prozessen und Handlungsabläufen verwendet. ^[62] Beides muss durchgesetzt werden um wirkungsvolle Schutzmaßnahmen gegen Industriespionage im Zusammenwirken mit Cloud Computing schaffen zu können.

8.1.1 Standardisierung und Zertifizierung

Großen Unternehmen wird der Zugang zu Cloud Computing Angeboten auf Grund der SOx Security Compliance-Anforderungen erschwert^[63][64]. Die Betreibbarkeit von Geschäftsprozessen über Cloud Computing-Dienste muss vom einzelnen Unternehmen geprüft werden. Dabei können Rahmenwerke, wie etwa der ITIL-Standard helfen.

Eine Zertifizierung nach ITIL bzw. ISO20000 für Mitarbeiter und Business Support Systeme vereinfacht die Einhaltung der SOx-Anforderungen.

Für Unternehmen aller Größen eignet sich die ISO27001- bzw. BS7799-Zertifizierung. Sie definiert einen Satz von Anforderungen an IT-Sicherheitsmanagementsysteme zum Schutz der Wertschöpfungskette und unterstützt somit auch die Absicherung der Abläufe zwischen Cloud-Nutzer und Cloud-Anbieter.

Die Standards 100-1 bis 100-4 des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) befassen sich mit Anforderungen an

• Managementsysteme für Informationssicherheit^[65],
• IT-Grundschutz-Vorgehensweisen^[66],
• Risikoanalysen auf der Basis des IT-Grundschutzes^[67]
• und das Notfallmanagement^[68]

und sind als standardisierter Leitfaden für die allgemeine Absicherung von IT-Systemen zu empfehlen.

Neben den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik gibt es weitere Einrichtungen und Organisationen, die sich mit der Standardisierung bzw. Zertifizierung von IT-Sicherheit beschäftigen und dementsprechende Handlungsanweisungen zur Verfügung stellen. Zu nennen ist hier im Besonderen der international verabschiedete Standard "Common Criteria for Information Technology Security Evaluation". Dieser Standard soll die Unterschiede zwischen dem europäischen ITSEC und dem amerikanischen Standard TCSEC vereinen und unterschiedliche Grundsätze vermeiden.

8.1.2 IT-Sicherheit

Wie bereits im vorherigen Kapitel erwähnt, bekommt jedes Unternehmen Richtlinien an die Hand mit denen die Sicherheit ihrer System verbessert werden kann. Die IT-Sicherheit ist generell, aber insbesondere von entscheidender Bedeutung, wenn Unternehmen die Ausgliederung von IT-Systemen und Anwendungen in Betracht ziehen. Die Anwendung der richtigen Werkzeuge ermöglicht Sicherheitsrisiken in Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit einzuschätzen, um diese in der späteren Auswahl des potentiellen neuen Cloud Computing Dienstleisters in den Fokus stellen zu können. Im Folgenden werden der Ablauf und die Begrifflichkeiten im Detail erläutert.

8.1.2.1 Grundschutzansatz

Unternehmen müssen den Grundschutzansatz auf jedes IT-System und deren Anwendungen zum Einsatz bringen. Der Grundschutzansatz beinhaltet Funktionen wie das IT-Sicherheitsmanagement, die Strukturanalyse und die Schutzbedarfsfeststellung. Jedes IT-System wird während der Schutzbedarfsfeststellung in folgende drei Kategorien eingeordnet.

• Normal: sehr überschaubare und begrenzte Schadensauswirkung
• Hoch: bedeutende Schadensauswirkung
• Sehr hoch: Existenz bedrohende, katastrophale Schadensauswirkung

Die Einordnung erfolgt auf Basis der Anforderungen des Systems hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit. Es wird von einer pauschalisierten Gefährdungssituation ausgegangen und allen Systemen wird ein Grundschutz auferlegt. In Folge dessen entstehen IT-Grundschutz-Kataloge, die bildlich gesprochen Sicherheitsbaupläne für bestimmte Systeme, wie zum Beispiel Mailserver, Webserver usw. darstellen. Ist der Katalog auf ein System oder eine Anwendung nicht anwendbar, muss eine detaillierte Risikoanalyse stattfinden.

8.1.2.2 Detaillierte Risikoanalyse

Gemäß des Bundesamtes für Sicherheit in der Informationstechnik sollten detaillierte Risikoanalysen immer dann vorgenommen werden, wenn weder, die bereits erwähnten Kataloge des Grundschutzansatzes vorhanden sind noch die Anwendung völlig atypisch genutzt wird. Des Weiteren muss die Analyse stattfinden, wenn die Systeme und Anwendungen einen sehr hohen Schutzbedarf erfordern^[70]. Mit der Nutzung von Cloud Computing Dienstleistungen treffen mindestens zwei der drei Kriterien zu. Das Cloud Computing ist ein sehr neues Konzept und in den Katalogen noch nicht enthalten. Zusätzlich wird die Anwendung in der Cloud atypisch genutzt. Aus diesen genannten Gründen sollte das Vorhaben der Ausgliederung von IT-Komponenten bei Unternehmen automatisch zu einer ausführlichen Risikoanalyse führen.

Wie Abbildung 11 verdeutlicht, ist die Risikoanalyse keineswegs ein Ersatz für den IT-Grundschutz, sondern soll erweiterte Kenntnisse liefern.

Folgende Punkte sind wichtige Bestandteile, die besondere Aufmerksamkeit, in Bezug auf die Nutzung von Cloud Computing erfahren sollten^[71].

• Abgrenzung des Analysebereichs

In diesem Bestandteil werden Objekte spezifiziert, die einer Analyse unterzogen werden. Augenmerk sollte auf die Einbindung von Randobjekten gelegt werden, wie zum Beispiel Gebäude, Zugangssystem und die Infrastruktur.

• Bedrohungsanalyse

Die zu schützenden Objekte sind vielfachen Gefahren ausgesetzt und müssen klar identifiziert werden. Es bestehen Bedrohungen wie zum Beispiel Fehlbedienungen oder Katastrophen. Ein besonderer Schwerpunkt sollte auf der Identifikation von möglichen Angreifern wie Mitarbeitern, Leasingpersonal usw. gelegt werden. Zum Ende müssen noch die Eintrittswahrscheinlichkeiten ermittelt werden.

• Identifikation bestehender Sicherheitsmaßnahmen

Die vorhandenen Sicherheitsmaßnahmen müssen bekannt sein und auf Funktion geprüft werden. Änderungen in den Sicherheitsmaßnahmen müssen bekannt gemacht werden.

• Schwachstellenanalyse

Eine Bedrohung wird nur akut, wenn systematische Schwachstellen vorhanden sind. Diese können personell und organisatorisch bedingt sein oder die Hard- und Software oder Infrastruktur betreffen. Diese müssen kategorisiert und dementsprechend an Bedeutung gewinnen.

Es zeigt sich, dass die Risikoanalyse nur mit enger Zusammenarbeit und Kooperation mit dem Dienstleister erfolgen kann, da sonst einzelne Aspekte nicht beantwortet werden können und die Risiken dementsprechend absolut nicht einschätzbar sind. Der Dienstleister muss sich seinem späteren Partnern gegenüber kooperativ verhalten und die Durchführung von zum Beispiel Sicherheits Auditierungen erlauben und begleiten.

8.1.2.3 Auswertung

Besteht die Absicht von Unternehmen, IT-System oder Anwendungen in eines der Cloud Computing Modelle zu überführen, sollte im Ablauf des Migrationsprojektes eine detaillierte Risikoanalyse der Anwendung erfolgen und an erster Stelle stehen. Die detaillierte Risikoanalyse ist die Grundvoraussetzung für geeignete Schutzmaßnahmen in Bezug auf die Abwehr von Spionage in externen Clouds. Es reicht nicht aus, IT-Systeme auf Basis des Grundschutzansatzes zu bewerten und auf Grund dieser eine Entscheidung zu treffen. Um die Voraussetzungen zu schaffen, eine möglichst risikoarme Migration in eine Cloud zu ermöglichen, bedarf es einer organisatorischen Anpassung im Unternehmen.

8.1.3 Aufbauorganisation

Als Konsequenz aus den Daten-Affären bei der Deutschen Bahn und der Deutschen Telekom, wurden in beiden Unternehmen neue Vorstandsposten geschaffen, die für den Datenschutz und die Konzernsicherheit verantwortlich sind ^[72]. Durch die damit verbundene neue Strukturierung des Vorstandes, wird eine strikte Trennung von Betriebs- und Sicherheitsverantwortung in der Aufbauorganisation verankert. Es macht eine Überprüfung nach dem Vier-Augen-Prinzip möglich und schützt das Unternehmen vor sicherheitskritischen Handlungen der einzelnen Vorstände. Im Fall der IT wird somit sichergestellt, dass nicht nur betriebswirtschaftlich und technisch optimiert wird, sondern auch die Sicherheitsaspekte beleuchtet und berücksichtigt werden. Oftmals geschieht dies mit Hilfe der zuvor angeführten Risikoanalysen ^[73].

Die Möglichkeit, ein separates Vorstandsressort für die Sicherheit des Unternehmen zu schaffen, haben meist nur Großkonzerne. Wie bereits erwähnt sind es aber hauptsächlich KMUs, die von Industriespionage betroffen sind. Themen wie IT-Sicherheit werden von vielen mittelständischen Vorständen nicht konsequent verfolgt, sondern eher durch den Fachbereich IT vertreten und umgesetzt. Aufgrund der mangelnden Weisungsbefugnisse ist eine angemessene Umsetzung von Richtlinien teilweise nicht möglich. Insofern kann der Einsatz von Cloud Computing, der eine Zentralisierung der Sicherheitsproblematik nach sich zieht, ein Weg sein, um die IT-Sicherheit kontrollierbarer zu machen, sofern durch ITIL definierte Standards eingehalten werden.

8.1.4 Ablauforganisation

Die angesprochenen ITIL Standards und Prozesse sind für einen sicheren Einsatz von Cloud Computing unumgänglich. Sie stellen eine Optimierung der Ablauforganisation in Bezug auf die Sicherheit dar. Diese Optimierung lässt sich sowohl in KMUs als auch in Großkonzernen umsetzen. Durch die Benutzung von Cloud Computing wird die IT in einzelne IT-Leistungen ausgegliedert.

Durch Signaling des Dienstleisters mit Hilfe von Zertifikaten kann die Informationasymmetrie zwischen Principal und Agent verringert werden. Unternehmen können durch gezieltes Screening, zum Beispiel durch die Prüfung der Reputationen des Anbieters, ebenfalls zum Abbau des Informationsungleichgewichtes beitragen.

Nachdem ein Anbieter unter Einbeziehung einer Risikoanalyse ausgewählt wurde, sollte sichergestellt werden, dass die erbrachten Services genau wie die Schnittstelle zum Dienstleister transparent, messbar und objetivierbar sind.

Ein standardisierter ITIL-Prozess zur regelmäßigen Überprüfung der Sicherheit des eingesetzen Cloud Computing Modells sollte etabliert werden, um ein Unternehmen vor Industriespionage durch den Einsatz von Cloud Computing zu schützen. Dies bedeutet, dass durch die Kopplung von Sicherheitsprozessen an die Inanspruchnahme von Cloud Computing Leistungen, eine höheres Maß der Sicherheit gewährleistet werden. Bei der Überprüfung sollten sich sowohl Screening als auch Signaling Komponenten wiederfinden. Kriterien zur Überprüfung der Sicherheit sollten vertraglich festgelegt werden ^[74].

8.2 Rechtlich

Für die Abdeckung des Wissens über internationale Rechte bei der Nutzung internationaler Cloud Computing Dienste werden KMUs die Anzahl ihrer Rechtsberater erweitern müssen bzw. diese schulen müssen. Da Cloud Computing-Angebote zunächst wie eine Black Box auf den Konsumenten wirken ist nicht klar, welchem Landesrecht die eigenen Daten unterliegen. Eine Recherche, in welchem Land die Infrastruktur und Datenhaltung eines Cloud Computing Angebotes vorgenommen wird, ist nötig. Unternehmen werden sich die Frage stellen müssen, wie sie gegenüber ihren deutschen Kunden die deutschen und im internationalen Vergleich strengen Datenschutzgesetze einhalten können.

Grundsätzlich gilt das Herkunftslandprinzip. §3 Abs. 1 des deutschen Telemediengesetzes (TMG) besagt, dass in der BRD niedergelassene Diensteanbieter und Telemedien den Anfoderungen des deutschen Rechtes auch dann unterliegen, wenn sie innerhalb des Geltungsbereichs der Richtlinie 2000/31/EG (europäischer Binnenmarkt) Dienste erbringen ^[75]. Dementsprechend haben Diensteanbieter aus Deutschland die deutschen Gesetze zu berücksichtigen, selbst dann wenn sie auf Cloud Computing Dienste aus dem europäischen Binnenmarkt oder dem sonstigen Ausland zugreifen.

Gemäß Cloud Security Alliance müssen Cloud Computing Konsumenten mit ihren Anbietern zusammen angemessene Schutzmaßnahmen für ihr intellektuelles Eigentum, andere Aktiva und persönliche Daten ihrer Mitarbeiter, Kunden und Kontakte gewährleisten ^[76]. Im deutschen Recht wird diese Aussage für Aktiengesellschaften durch den §91 Abs. 2 und für Unternehmen der Rechtsform GmbH durch den Paragraphen 43 Abs. 1 und 2 des GmbH-Gesetzes (GmbHG) bestärkt. Getreu diesen haben Vorstände bzw. Geschäftsführer dafür Sorge zu tragen, Risikomanagement in angemessenem Maße einzusetzen um den Fortbestand der Gesellschaft zu gewähren und gefährdende Entwicklungen zu erkennen und diesen vorzubeugen ^[77][78]. Zudem sollten beispielsweise die Gesetzte GLBA, HIPAA und die europäischen Datenschutzgesetzte Beachtung finden ^[79].

9 Schlussbetrachtung

Cloud Computing ist eine noch sehr junge Sicht auf IT-Sourcing. Die Vielfältigkeit der sourcebaren Leistungen und Dienste zeigt, dass Unternehmen zum aktuellen Zeitpunkt zu einem Grossteil selbst Informationen dafür hervorbringen müssen, welche Risiken sie hinsichtlich Industriespionage bei der Nutzung von Cloud Computing bedrohen und wie bedrohlich diese sind. Erhöhte Vorsicht ist durch die Tatsache geboten, dass womöglich Unternehmensdaten und -geheimnisse an Dienstleister übergeben werden welche zudem kritische Erfolgsfaktoren für das Geschäft beinhalten.

Die in Abbildung 12 aufgezeigte, steigende Tendenz der Gefährdung von Unternehmen durch Industriespionage wird durch das populärer werdende Cloud Computing weiter in den Mittelpunkt von Diskussionen rücken.

Unternehmen werden wie in Abbildung 13 gezeigt einen Mittelweg in Form eines Tradoff zwischen sicherer, featurereicher und offener Nutzung von Cloud Computing Angeboten finden müssen.

Hinsichtlich des Sicherheitsfaktors gilt es zu bedenken, dass grundsätzlich das Modell der Principal Agent Theorie angewendet werden kann. Gerade da die Wertigkeit von Kunden- und Unternehmensdaten höher ist als die durch den Missbrauch dieser hervorgerufenen Vertragsstrafen, besteht die Gefahr des sog. Moral Hazard.

Nicht nur deswegen ist Vertrauen ein wichtiger Faktor für ein sicheres und erfolgreiches Sourcing durch Cloud Computing. Der Fokus der Auswahl des Partners sollte auf prominente, namhafte und nach Möglichkeit nicht in Entwicklungs- und Schwellenländern ansässige Unternehmen fallen.

Etablierte IT-Security kann beim Cloud Computing kein Allheilmittel für die Absicherung der Kunden- und Unternehmensdaten sein.

10 Fußnoten

1. ↑ Vgl. [HEI]
2. ↑ Vgl. [DSGDW] S. 9
3. ↑ Vgl. [BFV] S. 6
4. ↑ Vgl. [BFV] S. 15
5. ↑ Vgl. [BFV] S. 16
6. ↑ Vgl. [PKS] S. 241
7. ↑ Vgl. [BFV] S. 16
8. ↑ Vgl. [PKS] S. 241
9. ↑ Vgl. [PKS] S. 214
10. ↑ Vgl. [SVI] S. 32
11. ↑ Vgl. [WADD] S. 59
12. ↑ Vgl. [WADD] S. 66
13. ↑ Vgl. [HEI1]
14. ↑ Vgl. [WADD] S. 31
15. ↑ Vgl. [WADD] S. 27
16. ↑ Vgl. [COPT] S. 15
17. ↑ Vgl. [WADD] S. 37
18. ↑ Vgl. [COPT] S. 11
19. ↑ Vgl. [COPT] S. 15
20. ↑ Vgl. [WADD] S. 22
21. ↑ Vgl. [COPT] S. 14
22. ↑ Vgl. [WADD] S. 22
23. ↑ Vgl. [COPT] S.9
24. ↑ Vgl. [COPT] S. 14
25. ↑ Vgl. [SPI]
26. ↑ Vgl. [WISP] S. 13
27. ↑ Vgl. [WADD] S. 13
28. ↑ Vgl. [WADD] S. 14
29. ↑ Vgl. [SPI]
30. ↑ Vgl. [WISP] S. 2
31. ↑ Vgl. [WISP] S.3
32. ↑ Vgl. [HEI]
33. ↑ Vgl. [CSA] S. 18
34. ↑ Vgl. [TBBSI] S. 4
35. ↑ Vgl. [CSA] S. 18
36. ↑ Vgl. [CSA] S. 18
37. ↑ Vgl. [CSA] S. 22
38. ↑ Vgl. [CSA] S. 17
39. ↑ Vgl. [CSA] S. 17
40. ↑ Vgl. [CSA] S. 18
41. ↑ Vgl. [CSA] S. 17
42. ↑ Vgl. [CSA] S. 18
43. ↑ Vgl. [CSA] S. 17
44. ↑ Vgl. [CSA] S. 18
45. ↑ Vgl. [CSA] S. 21
46. ↑ Vgl. [CSA] S. 6
47. ↑ Vgl. [CSA] S. 19
48. ↑ Vgl. [CSA] S. 19
49. ↑ Vgl. [CSA] S. 19
50. ↑ Vgl. [CSA] S. 19
51. ↑ Vgl. [CSA] S. 19
52. ↑ Vgl. [EECS] S. 15
53. ↑ Vgl. [NITSich] S. 188
54. ↑ Vgl. [WPF] S. 17
55. ↑ Vgl. [WPF] S. 18
56. ↑ Vgl. [SSaim2] S.1
57. ↑ Vgl. [CSA] S. 24
58. ↑ Vgl. [IXmag] S. 112
59. ↑ Vgl. [CSA] S. 55
60. ↑ Vgl. [SSaim1] S. 1
61. ↑ Vgl. [TUMdb] S. 1
62. ↑ Vgl. [SHDB] S. 205
63. ↑ Vgl. [NIST] S. 6
64. ↑ Vgl. [EECS] S. 17
65. ↑ Vgl. [BSI1]
66. ↑ Vgl. [BSI2]
67. ↑ Vgl. [BSI3]
68. ↑ Vgl. [BSI4]
69. ↑ Vgl. [CSA] S. 24
70. ↑ Vgl. [BSI2] S. 4
71. ↑ Vgl. [VRA] S. 5
72. ↑ Vgl. [HEI2]
73. ↑ Vgl. [WADD] S. 91
74. ↑ Vgl. [BSI5] S. 9
75. ↑ Vgl. [TMG] Abs. 1
76. ↑ Vgl. [CSA] S.36
77. ↑ Vgl. [AKTG]
78. ↑ Vgl. [GMBHG]
79. ↑ Vgl. [CSA] S.36
80. ↑ Vgl. [COPT1] S. 5
81. ↑ Vgl. [CSA] S. 23

11 Literatur- und Quellenverzeichnis

[ACC]	Swaminathan, Kishore S.; Computing in the Clouds (05.2008); http://www.accenture.com/NR/rdonlyres/321DC1B6-9A79-4F0E-8C5A-E1807444D52B/0/OutlookPDF_Edge_01.pdf (14.05.2009)
[AKTG]	Bundesministerium der Justiz; Aktiengesetz §91 Abs. 2; http://bundesrecht.juris.de/aktg/__91.html (25.05.2009)
[BFV]	Die Verfassungsschutzbehörden des Bundes und der Länder; Wirtschaftsspionage - Risiko für Ihr Unternehmen (Juni 2008); http://www.im.nrw.de/sch/doks/vs/wirtschaftsspionage.pdf (07.04.2009)
[BSI1]	Bundesamt für Sicherheit in der Informationstechnik; BSI-Standard 100-1 - Managementsystem für Informationssicherheit (2008); http://www.bsi.bund.de/literat/bsi_standard/standard_1001.pdf (11.05.2009)
[BSI2]	Bundesamt für Sicherheit in der Informationstechnik; BSI-Standard 100-2 - IT-Grundschutz-Vorgehensweise (2008); http://www.bsi.bund.de/literat/bsi_standard/standard_1002.pdf (11.05.2009)
[BSI3]	Bundesamt für Sicherheit in der Informationstechnik; BSI-Standard 100-3 - Risikoanalyse auf der Basis von IT-Grundschutz (2008); http://www.bsi.bund.de/literat/bsi_standard/standard_1003.pdf (11.05.2009)
[BSI4]	Bundesamt für Sicherheit in der Informationstechnik; BSI-Standard 100-4 - Notfallmanagement (2008); http://www.bsi.bund.de/literat/bsi_standard/standard_1004.pdf (11.05.2009)
[BSI5]	Bundesamt für Sicherheit in der Informationstechnik; ITIL und Informationssicherheit(2005); http://www.bsi.bund.de/literat/studien/ITinf/itil.pdf (19.05.2009)
[COPT]	Corporate Trust business risk & crisis management; Studie: Industriespionage - Die Schäden durch Spionage in der deutschen Wirtschaft (2007); http://www.corporate-trust.de/pdf/STUDIE_191107.pdf (08.05.2009)
[COPT1]	Corporate Trust business risk & crisis management; Studie: Gefahrenbarometer 2010 - Sicherheitsrisiken für den deutschen Mittelstand (2009); http://www.corporate-trust.de/studie/Gefahrenbarometer2010.pdf (06.05.2009)
[CSA]	Cloud Security Alliance; Security Guidance for Critical Areas of Focus in Cloud Computing (04.2009); http://www.cloudsecurityalliance.org/guidance/csaguide.pdf (02.05.2009)
[DATEC]	datec24 Services GmbH; Cloud Computing: Sicher in den Wolken? (2009); http://www.datec24.de/pdf/IT_Sicherheit_und_Cloud_Computing.pdf (10.05.2009)
[DSGDW]	Schmidt-Eenboom, Erich; Die schmutzigen Geschäfte der Wirtschaftsspione (1994); ISBN 3-430-18007-4
[EECS]	Armbrust, Michael; Fox, Armando; Griffith, Rean; Joseph, Anthony D.; Katz, Randy H.; Konwinski, Andrew; Lee, Gunho; Patterson, David A.; Rabkin, Ariel; Stoica, Ion; Zaharia, Matei; Electrical Engineering and Computer Sciences (10.02.2009); http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf (07.04.2009)
[GMBHG]	Bundesministerium der Justiz; GmbH Gesetz (GmbHG) §43; http://bundesrecht.juris.de/gmbhg/__43.html (25.05.2009)
[HEI]	Heise Zeitschriften Verlag; Studie: Krise verstärkt Gefahr von Datendiebstahl (29.01.2009); http://www.heise.de/security/Studie-Krise-verstaerkt-Gefahr-von-Datendiebstahl--/news/meldung/126565 (14.05.2009)
[HEI1]	Heise Zeitschriften Verlag; Schwere Sicherheitslücken beim Schnurlos-Telefonieren mit DECT (04.05.2009); http://www.heise.de/newsticker/25C3-Schwere-Sicherheitsluecken-beim-Schnurlos-Telefonieren-mit-DECT-update--/meldung/120988 (14.05.2009)
[HEI2]	Heise Zeitschriften Verlag; Telekom rekrutiert Datenschutz-Vorstand aus den eigenen Reihen (21.10.2008); http://www.heise.de/newsticker/Telekom-rekrutiert-Datenschutz-Vorstand-aus-den-eigenen-Reihen--/meldung/117727 (15.05.2009)
[IXmag]	iX Magazin für professionelle Informationstechnik; Sicherheitsaspekte rund um die Cloud (Ausgabe 5/2009); Herausgeber Heise Zeitschriften Verlag
[MNM]	Kranzlmüller, Dieter; Cloud Computing - Hype oder Technologie (31.03.2009); http://www.nm.ifi.lmu.de/~kranzlm/vortraege/20090331_Stuttgart-ZKI_Jahrestagung-Cloud_Computing-Hype_oder_Technologie.ppt (20.04.2009)
[NIST]	Mell, Peter; Grance, Tim; National Institute of Standards and Technology; Perspectives on Cloud Computing and Standards (10.12.2008); http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/2008-12/cloud-computing-standards_ISPAB-Dec2008_P-Mell.pdf (20.04.2009)
[NITSich]	Dinger, Jochen; Hartenstein, Hannes; Netzwerk- und IT-Sicherheitsmanagement(2008); ISBN 978-3866442092
[PKS]	Bundeskriminalamt Kriminalistisches Institut; Polizeiliche Kriminalstatistik 2007 - Bundesrepublik Deutschland (2008) ; http://www.bka.de/pks/pks2007/download/pks-jb_2007_bka.pdf (06.05.2009)
[SHDB]	Ralph Berndt Springers Handbuch der Betriebswirtschaftslehre (1998); ISBN 3-540-64828-3
[SPI]	Spiegel Online; Chronologie - Die López-Affäre (23.05.2000); http://www.spiegel.de/wirtschaft/0,1518,77898,00.html (12.05.2009)
[SSaim1]	Kern, Daniel; Todamm, Jörg-Oliver; Sicherheit für virtuelle Infrastrukturen (08.05.2009); http://www.searchdatacenter.de/specials/herausforderung-management/grundlagen/articles/185779/index2.html (14.05.2008)
[SSaim2]	Baumeister, Johann; User Management und Password Management; Nur berechtigte Benutzer erhalten Zugriff;(07.05.2009); http://www.searchsecurity.de/themenbereiche/identity-und-access-management/passwort-management/articles/186622/ (14.05.2008)
[SVI]	Gabriela Hoppe, Andreas Prieß; Sicherheit von Informationssystemen: Gefahren, Massnahmen und Management im IT-bereich (2003); ISBN 3-482-52571-4
[TBBSI]	Arbeitsgruppe Identitätsschutz im Internet; Tagungsbericht ai3BSI-Symposium 2009 (24.03.2009); https://www.a-i3.org/images/Symposium_2009/tagungsbericht%20ai3-bsi%20-%20symposium%202009.pdf (20.04.2009)
[TMG]	Bundesministerium der Justiz; Telemediengesetz §3 - Herkunftslandprinzip ; http://bundesrecht.juris.de/tmg/__3.html (11.05.2009)
[TUMdb]	Aulbach, Stefan; Jacobs, Dean; Primsch, Jürgen; Kemper, Alfons; Anforderungen DBMS für Multi-Tenancy und SaaS-Applikationen (10.08.2007); http://www3.informatik.tu-muenchen.de/research/publications/conferences/btw2009-mtd.pdf (29.04.2009)
[UIUC]	Grimes, Justin M.; Jaeger, Paul T.; Lin, Jimmy; Weathering the Storm: The Policy Implications of Cloud Computing (01.02.2009); http://nora.lis.uiuc.edu/images/iConferences/CloudAbstract13109FINAL.pdf (23.04.2009)
[VRA]	Wand, Rolf-Dieter; Vorgehensmodell Risikoanalyse (2003); http://www.it-audit.de/assets/artikel/iec/Vorgehensmodell-Risikoanalyse.pdf (11.05.2009)
[WADD]	Hummelt, Roman; Wirtschaftsspionage auf dem Datenhighway - strategische Risiken und Spionageabwehr (1997); ISBN 3-446-19070-8
[WISP]	Nathusius, Ingo; Wirtschaftsspionage - Gefahren, Strukturen und Bekämpfung (2001); ISBN 3-7832-0275-2
[WPF]	Gellmann, Robert: Privacy in the Clouds: Risks to Privacy and Confidentiality from Cloud Computing (23. Februar 2009); http://www.worldprivacyforum.org/pdf/WPF_Cloud_Privacy_Report.pdf (24.05.2009)