Dipl.-Ök. Wolfram Bartuschka
In Anlehnung an die klassische Vorgehensweise des Risikomanagements ergibt sich das folgende Vorgehensmodell zum Risikomanagement:
Abbildung 4: Vorgehen zum Risikomanagement
4.3.1.1 Risiken identifizieren
Für die Identifikation der Risiken können bereits vorhandene Aufstellungen zu Risiken des Cloud Computings wie beispielsweise das Dokument der European Network and Information Security Agency (enisa) zum Thema "Cloud computing: Benefits, risks and recommendations for information security", die exemplarische Darstellung unter 4.1. hier oder andere Dokumente als Basis verwendet werden. Die Risiken sollten zunächst gesammelt, grob beschrieben und strukturiert werden (z. B. operative Risiken, vertragliche Risiken, Compliance-Risiken, ...).
In einem zweiten Schritt sollten dann die Ursachen für die Risiken benannt und mögliche Folgen zunächst beschrieben werden.
4.3.1.2 Risiken bewerten
Nach der Identifikation der Risiken sind Eintrittswahrscheinlichkeiten und Schadenshöhe zu schätzen. Es kommt in diesem Schritt nicht darauf an, ganz präzise Werte abzuleiten. Wahrscheinlich ist das auch nicht immer möglich. Gegebenenfalls kann man hier zunächst auch mit Werten für die Eintrittswahrscheinlichkeit in "sehr gering – gering – mittel – hoch – sehr hoch" arbeiten. Bei den Schätzungen der Schadenshöhe sind nur die unmittelbaren Auswirkungen anzusetzen (also keine Kosten, um die Schäden zu verhindern). Auch hier reicht eine Einstufung ähnlich der Vorgehensweise für die Eintrittswahrscheinlichkeit. Auch für die Ableitung dieser Werte lassen sich aus Dokumenten, wie dem oben erwähnten enisa-Papier Anhaltspunkte finden.
Im Ergebnis kann folgende sogenannte Risikolandkarte abgebildet werden:
Abbildung 5: Risikolandkarte
4.3.1.3 Risiken begrenzen
Auf der Basis der Risikolandkarte kann dann eine Priorisierung vorgenommen werden. Risiken mit vergleichsweise hoher Eintrittswahrscheinlichkeit und Schadenshöhe sollten naturgemäß mit Vorrang adressiert werden.
Für die einzelnen Risiken sollten Maßnahmen abgeleitet werden, durch die die Risiken, bei wirtschaftlicher Betrachtungsweise in einem noch tragbaren Rahmen bleiben. Zu den Maßnahmen können unter anderem gehören:
- Überarbeitung der Cloud-Verträge mit spezifischen Regelungen zur Datenmigration bei Anbieterwechsel
- Regelmäßige Überprüfung der Verträge
- Einholen von Einkünften zur wirtschaftlichen Situation des Anbieters
- Ausschließen des Cloud Computings für besonders schützenswerte Daten, Prozesse
- etc.