Compliance: Cloud Computing – Risiken, Ursachen und mögl ... / 4.3 Management der Risiken

In der Regel haben die Unternehmen bisher nur einzelne Aspekte ihrer IT in Cloud-Lösungen abgebildet. Mit zunehmendem Fortschreiten der Transformation in Richtung Cloud müssen sich die Unternehmen aber immer mehr mit der Frage befassen, welche Risiken sich für sie ergeben können und wie ein angemessener Umgang mit diesen Risiken aussehen kann.

Risiken für die Unternehmen können sich dabei, wie bereits aus den vorstehenden beispielhaften Risiken ersichtlich, in mehreren Dimensionen ergeben, z. B.

• Compliance
• Finanziell
• Reputation
• Prozessual.

Es ist sinnvoll, vor wesentlichen neuen Schritten in Richtung Cloud die Risiken in einem strukturierten Prozess zu erfassen, zu bewerten, Maßnahmen zur Begrenzung des Risikos zu definieren und das verbleibende Restrisiko zumindest abzuschätzen. Da die Vermeidung von Risiken oder die Abwehr von Risiken mit erheblichen Aufwendungen verbunden sein kann, werden sich Unternehmen in der Regel entscheiden, ein gewisses Restrisiko als Teil des allgemeinen Unternehmensrisikos final zu tragen.

Auch bei klassischen IT-Lösungen verbleibt ein Restrisiko bzw. kann das Restrisiko aus der Transformation in die Cloud durch einen höheren Nutzen aus der Nutzung von Cloud Computing überkompensiert werden.

4.3.1 Prozess des Managements von Risiken von Cloud Computing

In Anlehnung an die klassische Vorgehensweise des Risikomanagements ergibt sich das folgende Vorgehensmodell zum Risikomanagement:

Abbildung 4: Vorgehen zum Risikomanagement

4.3.1.1 Risiken identifizieren

Für die Identifikation der Risiken können bereits vorhandene Aufstellungen zu Risiken des Cloud Computings wie beispielsweise das Dokument der European Network and Information Security Agency (enisa) zum Thema "Cloud computing: Benefits, risks and recommendations for information security", die exemplarische Darstellung unter 4.1. hier oder andere Dokumente als Basis verwendet werden. Die...