Bundesamt für Sicherheit in der Informationstechnik

G 2.189 Fehlende oder unzureichende Strategie für die Cloud-Nutzung

Die Entscheidung für den Einsatz von Cloud Services in einer Institution ist eine strategische Entscheidung. Durch diese begibt sich eine Institution in ein enges Abhängigkeitsverhältnis zum Cloud-Diensteanbieter.

Fehlentscheidungen hinsichtlich der Strategie zur Cloud-Nutzung können organisatorische, technische oder auch gravierende finanzielle Auswirkungen nach sich ziehen, die unter Umständen auch langfristig und schwerwiegend ausfallen können.

Bedingt durch eine unzureichende oder fehlerhafte Strategie für die Cloud-Nutzung sind in der Praxis folgende Auswirkungen zu beobachten:

  • Weitverbreitet sind Fehleinschätzungen bei der Einführung und beim Management der Cloud-Nutzung. Der Aufwand für die sichere Einführung eines Cloud Services (zum Beispiel Erstellung von Dokumentationen, Tests, Absicherung von Systemen) wird häufig unterschätzt. Die daraus resultierenden zeitlichen Verzögerungen verleiten Institutionen oft zu einer Reduktion geplanter Testaufwände, was zu Abstrichen bei der Sicherheit führen kann.
  • Es entsteht eine Abhängigkeit vom Cloud-Diensteanbieter, die in der Folge die Institution der Gefahr unangemessener Preiserhöhungen oder sinkender Dienstleistungsqualität aussetzt.
  • Durch den Einsatz von Cloud Services besteht die Gefahr, dass der IT -Einsatz nicht mehr ordnungsgemäß gesteuert werden kann (Verlust der Governance). Mögliche Ursachen hierfür liegen in unklaren Service-, Prozess- oder Schnittstellendefinitionen.
  • Wird in der Planung weder ein späterer Wechsel zu einem anderen Cloud-Diensteanbieter noch die Rückholung vom Cloud-Diensteanbieter in die eigene IT berücksichtigt, kann dies zu hohen Kosten führen.
  • Eine unzureichende Planung der Datenlöschung bei der Beendigung der Nutzung eines Cloud Services birgt das Risiko, dass unberechtigt auf die Daten zugegriffen werden kann.

Stand: 14. EL Stand 2014