Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing

Transkript

1 Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing Prof. Dr. Peter Buxmann André Loske Fachgebiet Wirtschaftsinformatik Software Business & Information Management Technische Universität Darmstadt Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 1

2 Grundlagen Ziele der Studie Immer mehr Unternehmen in Deutschland beschäftigen sich strategisch mit dem Thema Cloud Computing. Die Cloud eröffnet einerseits neue Möglichkeiten, ist andererseits aber auch mit neuen Risiken verbunden. Vorhergehende Untersuchungen haben gezeigt, dass die von den Nutzern wahrgenommenen IT Sicherheitsrisiken ein erheblichen Hemmnis bei der Adaption von Cloud Computing Lösungen darstellen. Ziel der vorliegenden Studie ist es, zu analysieren, inwieweit IT- Sicherheitsrisiken im Bereich Cloud Computing von potentiellen Nutzern verzerrt wahrgenommen werden Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 2

3 Grundlagen Vorgehensweise Entwicklung eines Frameworks zur vollständigen und überschneidungsfreien Messung wahrgenommener IT Sicherheitsrisiken Analyse der Wahrnehmung von technologiebezogenen Risiken von Cloud Computing durch (potentiellen) Nutzern (Unternehmenskunden). [Vgl. Abschnitt Ergebnisse der Nutzerstudie ] Untersuchung der Wahrnehmung von technologiebezogenen Risiken von Cloud Computing durch Anbieter. [Vgl. Abschnitt Ergebnisse der Anbieterstudie ] Nutzung des Expertenwissens und der Marktkenntnis der Entscheidungsträger von Cloud Computing Anbietern sowie weiteren Sicherheitsexperten zur Abschätzung und Validierung des tatsächlichen IT Sicherheitsrisikos Identifikation und Analyse von Verzerrungen der Einschätzung von IT Sicherheitsrisiken des Cloud Computings durch (potentielle) Nutzer. [Vgl. Identifikation von Verzerrungen in der Risikowahrnehmung ] Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 3

4 Grundlagen Messung wahrgenommener IT Sicherheitsrisiken Vollständige Erfassung des wahrgenommenen IT Sicherheitsrisikos von Cloud Computing mit 31 überscheidungsfreien Risikoelementen (abgeleitet aus 757 Einzelrisiken mit mehrstufigen Prozess aus Literaturrecherche und Expertenrunden), die 6 Risikofacetten zugeordnet wurden Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 4

5 Inhalt Ergebnisse der Anbieterstudie (Cloud Computing Anbieter im deutschen Markt) Ergebnisse der Nutzerstudie (Deutsche Unternehmen aus unterschiedlichen Branchen) Identifikation von Verzerrungen in der Risikowahrnehmung Gegenüberstellung der Ergebnisse aus Anbieter- und Nutzerstudie Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 5

6 Inhalt Ergebnisse der Anbieterstudie (Cloud Computing Anbieter im deutschen Markt) Ergebnisse der Nutzerstudie (Deutsche Unternehmen aus unterschiedlichen Branchen) Identifikation von Verzerrungen in der Risikowahrnehmung Gegenüberstellung der Ergebnisse aus Anbieter- und Nutzerstudie Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 6

7 Ergebnisse der Anbieterstudie Stichprobe 117 Anbieter aus dem deutschen Cloud Computing Markt (Rücklaufquote: 34,5 %) haben sich an der Studie beteiligt SaaS IaaS PaaS Größe des Unternehmens % Kleines Unternehmen (< 50 Mit.) 54,39% Mittelgroßes Unternehmen (50 bis 249 Mit.) 21,05% Großes Unternehmen (> 249 Mit.) 24,56% Umsatz des Unternehmens % Euro oder weniger 10,53% Euro 24,56% Euro 19,30% Euro 14,04% Euro oder mehr 31,58% Position des Teilnehmers % Geschäftsführer / CEO 21,05% Gesamtleiter der IT / CIO 17,54% Abteilungsleiter (IT) 14,04% Abteilungsleiter (Kaufmännisch) 22,81% Angestellter (IT) 5,26% Angestellter (Kaufmännisch) 3,51% Datenschutz- / Sicherheitsbeauftragter 15,79% Erfahrung des Teilnehmers % 1 Jahr oder weniger 10,53% 2-5 Jahre 26,32% 6-10 Jahre 33,33% 11 Jahre oder mehr 29,82% Angebotene CC Dienste % Kommunikations- und Kollaborations Anw. 26,39% Customer Relationship Management Anw. 15,28% Content Management Systeme 4,17% Office Applikationen 9,72% Enterprise Resource Planning Anw. 6,94% Entwicklungs- & Ausführungsumgebungen 9,72% Online-Speicherplatz 12,50% Rechenleistung auf virtuellen Servern 11,11% Andere Anwendung 4,17% Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 7

8 Ergebnisse der Anbieterstudie Entwicklung von Cloud Computing Wie hoch schätzen Sie die Relevanz von Cloud Computing im Allgemeinen heute und in Zukunft ein? Sehr gering Sehr hoch Cloud Computing-Lösungen sind in vielen Fällen ein nützliches Instrument zur Senkung der operativen Kosten der Nutzer Stimme überhaupt nicht zu Stimme voll und ganz zu Cloud Computing-Lösungen stellen in vielen Fällen eine zweckdienliche strategische Option für Unternehmen dar Stimme überhaupt nicht zu Stimme voll und ganz zu n = Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 8

9 Ergebnisse der Anbieterstudie Allgemeine Risiken von Cloud Computing Der Bezug von Cloud Computing-Lösungen ist im Allgemeinen mit hohen Risiken für die Nutzer verbunden Stimme überhaupt nicht zu Stimme voll und ganz zu Das Risiko ist hoch, dass seitens der Nutzer erhoffte Einsparungen (erzielt durch die Umstellung auf Cloud Computing) oder strategische Vorteile ausbleiben Stimme überhaupt nicht zu Stimme voll und ganz zu n = Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 9

10 Ergebnisse der Anbieterstudie IT Sicherheitsrisiken der Cloud Computing Angebote Das Risiko durch IT-Sicherheitsbedrohungen für das Cloud Computing Angebot unseres Unternehmens ist Sehr gering Sehr hoch Die Wahrscheinlichkeit, dass Cloud Computing- Angebote unseres Unternehmens in den nächsten 12 Monaten aufgrund einer Verletzung der IT-Sicherheit beeinträchtigt werden, ist Sehr gering Sehr hoch Die Verwundbarkeit der IT-Sicherheit des Cloud Computing Angebots unseres Unternehmens ist Sehr gering Sehr hoch n = Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 10

11 Ergebnisse der Anbieterstudie Sicherheit der Cloud Computing Angebote (1/2) Unser Unternehmen hat sich sehr intensiv mit dem Thema Sicherheit im Cloud Computing auseinandergesetzt. Stimme überhaupt nicht zu Stimme voll und ganz zu Unser Unternehmen hat eine guten Überblick über den Stand sowie aktuelle Entwicklungen im Bereich der Cloud Computing Sicherheit Stimme überhaupt nicht zu Stimme voll und ganz zu Es wurden Pläne zum Umgang mit Bedrohungen der IT-Sicherheit des Cloud Computing Angebots ausgearbeitet Stimme überhaupt nicht zu Stimme voll und ganz zu n = Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 11

12 Ergebnisse der Anbieterstudie Sicherheit der Cloud Computing Angebote (2/2) Alle notwendigen Sicherheitsmaßnahmen wurden umgesetzt, um eine Bedrohung der Nutzer des Cloud Computing Angebots durch die IT-Sicherheitsrisiken zu vermeiden Stimme überhaupt nicht zu Stimme voll und ganz zu Die Nutzer des Cloud Computing Angebots sind umfassend gegen die IT-Sicherheitsrisiken geschützt Stimme überhaupt nicht zu Stimme voll und ganz zu Die Nutzung des Cloud Computing Angebots erhöht im Allgemeinen die IT-Sicherheit der Kunden Stimme überhaupt nicht zu Stimme voll und ganz zu n = Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU-Darmstadt CASED 12

13 Ergebnisse der Anbieterstudie Im Markt etablierte Sicherheitsmaßnahmen Kategorie Sicherheitsmaßnahmen* Anteil im Markt umgesetzt 1. Mitarbeiterbezogene Maßnahmen 93,95% 2. Maßnahmen zum Schutz der Rechenzentren 89,35% 3. Maßnahmen zur Steigerung der Netzwerksicherheit 86,27% 4. Maßnahmen im Sicherheitsmanagement 81,66% 5. Rechtliche und vertragliche Sicherheitsmaßnahmen 80,89% 6. Maßnahmen zur Überwachung und Behandlung von Zwischenfällen 72,85% 7. Maßnahmen zum Rechtemanagement 71,75% 8. Maßnahmen zur Steigerung der Serversicherheit 66,34% 9. Maßnahmen zur Steigerung der Transparenz 66,30% 10. Maßnahmen zur Sicherung der langfristigen Verfügbarkeit 62,09% 11. Maßnahmen zur Steigerung der Datensicherheit 57,43% 12. Maßnahmen zum Test und Nachweis der Sicherheit 56,09% 13. Maßnahmen zur Steigerung der Anwendungs- und Plattformsicherheit 46,65% 14. Verschlüsselungs- und Keymanagementmaßnahmen 38,83% * 131 Sicherheitsmaßnahmen (basierend auf einer systematischen Recherche der Literatur abgeleitet) wurden im Rahmen der empirischen Untersuchung abgefragt. Prozentzahl gibt Häufigkeit der Umsetzung einzelner Maßnahmen in einer Kategorie im Markt an Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 13 n = 29

14 Ergebnisse der Anbieterstudie TOP 10 IT Sicherheitsrisiken Überhaupt nicht riskant Überaus riskant 1.Identitätsdiebstahl 2. Angriffe auf Verfügbarkeit 3. Inkompatible Geschäftsprozesse oder Software 4. Unzureichende Anpassbarkeit 5. Ungewollte Ausfälle 6. Geschwindigkeitsprobleme 7. Geschwindigkeitsprobleme interner Systeme 8. Einsehen von Daten auf internen Systemen 9. Unzureichender Datenimport 10. Proprietäre Technologien Dargestellt sind die 10 als am gravierendsten eingestuften Risiken aus den Gruppen: Vertraulichkeit, Verfügbarkeit, Zurechenbarkeit, Leistung, Anpassbarkeit und Wartung Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 14

15 Ergebnisse der Anbieterstudie Vertraulichkeitsrisiken Unter Vertraulichkeit verstehen wir, dass Daten ausschließlich von autorisierten Benutzern gelesen werden. Einsehen von Daten auf internen Systemen Datenweitergabe durch Anbieter Einsehen von Daten beim Anbieter Abhören der Übertragung Risikoeinschätzung der eigenen Dienste durch Cloud Computing Anbieter (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 15

16 Ergebnisse der Anbieterstudie Integritätsrisiken Unter Integrität verstehen wir, dass Daten nicht von Unbefugten verändert, z. B. manipuliert, werden. Ändern von Daten auf internen Systemen Datenveränderung beim Anbieter Datenveränderung während Übertragung Datenmanipulation beim Anbieter Datenmanipulation während Übertragung Risikoeinschätzung der eigenen Dienste durch Cloud Computing Anbieter (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 16

17 Ergebnisse der Anbieterstudie Verfügbarkeitsrisiken Unter Verfügbarkeit verstehen wir, dass der Zugriff auf das Angebot und die Daten zu jedem (vom Kunden gewünschten) Zeitpunkt möglich ist. Nichtverfügbarkeit interner Systeme Datenverluste beim Anbieter Verlust von Zugriff auf Daten Angriffe auf Verfügbarkeit Ungewollte Ausfälle Einstellung des Angebots Risikoeinschätzung der eigenen Dienste durch Cloud Computing Anbieter (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 17

18 Ergebnisse der Anbieterstudie Leistungsrisiken Unter Leistung verstehen wir, dass die Nutzung des Angebots und der Daten in der Geschwindigkeit erfolgen kann, die den Leistungsanforderungen der Kunden entspricht. Geschwindigkeitsprobleme interner Systeme Bewusste Minderleistung nach Vertragsabschluss Unzureichende Skalierbarkeit Geschwindigkeitsprobleme Risikoeinschätzung der eigenen Dienste durch Cloud Computing Anbieter (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 18

19 Ergebnisse der Anbieterstudie Zurechenbarkeitsrisiken Unter Zurechenbarkeit verstehen wir, dass Authentifizierungsmechanismen nicht umgangen werden können und Aktionen im Rahmen der Nutzung des Angebots und der Daten identifizierbaren Benutzern eindeutig zugeordnet werden können. Nichtzurechenbarkeit bei internen Aktionen Zugriff ohne Autorisation Aktionen unzureichend protokolliert Unzureichende Trennung von Kunden Identitätsdiebstahl Risikoeinschätzung der eigenen Dienste durch Cloud Computing Anbieter (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 19

20 Ergebnisse der Anbieterstudie Anpassbarkeits- und Wartungsrisiken Unter Anpassbarkeit und Wartung verstehen wir, dass Anpassungen des Angebots an eigene bzw. geänderte Anforderungen möglich und Wartung sowie Support gewährleistet sind. Zeitlich ungünstige Updates Unzureichende Wartung Proprietäre Technologien Unzureichender Datenimport Fehlender technologischer Fortschritt Inkompatible Geschäftsprozesse oder Software Unzureichende Anpassbarkeit Risikoeinschätzung der eigenen Dienste durch Cloud Computing Anbieter (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 20

21 Inhalt Ergebnisse der Anbieterstudie (Cloud Computing Anbieter im deutschen Markt) Ergebnisse der Nutzerstudie (Deutsche Unternehmen aus unterschiedlichen Branchen) Identifikation von Verzerrungen in der Risikowahrnehmung Gegenüberstellung der Ergebnisse aus Anbieter- und Nutzerstudie Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 21

22 Ergebnisse der Nutzerstudie Stichprobe 472 Unternehmen haben den Fragebogen beantwortet. Dies entspricht einer Rücklaufquote von 7,87% Charakteristika der Teilnehmer: 55% KMU, 45% Große Unternehmen 62% CEO oder CIO, 84% für Auswahlentscheidungen verantwortlich Unternehmensgröße 3,8%: Kleinst (< 10) 12,6%: Klein (10-49) 39,0%: Mittel (50-249) 44,6%: Groß (> 249) Branche Anz % Maschinenbau und Ausrüstung 52 11,53% Groß- und Einzelhandel 52 11,53% Immobilienwirtschaft 45 9,98% Metall- und Metallwarenindustrie 32 7,10% Sonstige verarbeitende Industrien 30 6,65% Chemische Industrie 29 6,43% Lebensmittelindustrie 24 5,32% Automobilindustrie / Fahrzeugbau 23 5,10% Baugewerbe 22 4,88% Kredit- und Finanzwesen 20 4,43% Verkehr, Lagerhaltung und Nachrichtenwesen 20 4,43% Sonstiges ,62% Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 22

23 Ergebnisse der Nutzerstudie Aktuelle Nutzung von Cloud Computing Der Großteil der befragten Unternehmen setzt aktuell noch kein Cloud Computing ein: 85% nutzen Cloud Computing eher nicht oder weniger 89,2% investieren 5% oder weniger ihres IT-Budgets für einen Anwendungstyp in Cloud Computing. Bis zum Jahr 2014 ist mit Wachstum zu rechnen: 39% nutzen Cloud Computing eher schon bis voll und ganz 44,2% investieren mehr als 5% ihres IT-Budgets für einen Anwendungstyp in Cloud Computing Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 23

24 Ergebnisse der Nutzerstudie TOP 10 IT Sicherheitsrisiken 1. Identitätsdiebstahl 2. Angriffe auf Verfügbarkeit 3. Einsehen von Daten beim Anbieter 4. Datenweitergabe durch Anbieter 5. Einsehen von Daten auf internen Systemen 6. Geschwindigkeitsprobleme 7. Ungewollte Ausfälle 8. Abhören der Übertragung 9. Aktionen unzureichend protokolliert 10. Proprietäre Technologien Überhaupt nicht riskant Überaus riskant N = 376 Dargestellt sind die 10 als am gravierendsten eingestuften Risiken aus den Gruppen: Vertraulichkeit, Verfügbarkeit, Zurechenbarkeit, Leistung, Anpassbarkeit und Wartung Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 24

25 Ergebnisse der Nutzerstudie Vertraulichkeitsrisiken Unter Vertraulichkeit verstehen wir, dass Daten ausschließlich von autorisierten Benutzern gelesen werden. Einsehen von Daten auf internen Systemen Datenweitergabe durch Anbieter Einsehen von Daten beim Anbieter Abhören der Übertragung Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 25

26 Ergebnisse der Nutzerstudie Integritätsrisiken Unter Integrität verstehen wir, dass Daten nicht von Unbefugten verändert, z. B. manipuliert, werden. Ändern von Daten auf internen Systemen Datenveränderung beim Anbieter Datenveränderung während Übertragung Datenmanipulation beim Anbieter Datenmanipulation während Übertragung Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 26

27 Ergebnisse der Nutzerstudie Verfügbarkeitsrisiken Unter Verfügbarkeit verstehen wir, dass der Zugriff auf das Angebot und die Daten zu jedem (vom Kunden gewünschten) Zeitpunkt möglich ist. Nichtverfügbarkeit interner Systeme Datenverluste beim Anbieter Verlust von Zugriff auf Daten Angriffe auf Verfügbarkeit Ungewollte Ausfälle Einstellung des Angebots Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 27

28 Ergebnisse der Nutzerstudie Leistungsrisiken Unter Leistung verstehen wir, dass die Nutzung des Angebots und der Daten in der Geschwindigkeit erfolgen kann, die den Leistungsanforderungen der Kunden entspricht. Geschwindigkeitsprobleme interner Systeme Bewusste Minderleistung nach Vertragsabschluss Unzureichende Skalierbarkeit Geschwindigkeitsprobleme Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 28

29 Ergebnisse der Nutzerstudie Zurechenbarkeitsrisiken Unter Zurechenbarkeit verstehen wir, dass Authentifizierungsmechanismen nicht umgangen werden können und Aktionen im Rahmen der Nutzung des Angebots und der Daten identifizierbaren Benutzern eindeutig zugeordnet werden können. Nichtzurechenbarkeit bei internen Aktionen Zugriff ohne Autorisation Aktionen unzureichend protokolliert Unzureichende Trennung von Kunden Identitätsdiebstahl Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 29

30 Ergebnisse der Nutzerstudie Anpassbarkeits- und Wartungsrisiken Unter Anpassbarkeit und Wartung verstehen wir, dass Anpassungen des Angebots an eigene bzw. geänderte Anforderungen möglich und Wartung sowie Support gewährleistet sind. Zeitlich ungünstige Updates Unzureichende Wartung Proprietäre Technologien Unzureichender Datenimport Fehlender technologischer Fortschritt Inkompatible Geschäftsprozesse oder Software Unzureichende Anpassbarkeit Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 30

31 Inhalt Ergebnisse der Anbieterstudie (Cloud Computing Anbieter im deutschen Markt) Ergebnisse der Nutzerstudie (Deutsche Unternehmen aus unterschiedlichen Branchen) Identifikation von Verzerrungen in der Risikowahrnehmung Gegenüberstellung der Ergebnisse aus Anbieter- und Nutzerstudie Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 31

32 Identifikation von Verzerrungen in der Risikowahrnehmung Erläuterung / Beispiel Risiko 1 Risiko 2 Risiko 3 Risiko 4 Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] Risikoabschätzung der Sicherheitsexperten Einschätzung des IT Sicherheitsrisikos durch (potentielle) Nutzer Differenz der Risikowahrnehmung zwischen Nutzer und Experten Abschätzung des IT Sicherheitsrisikos durch Experten (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 32

33 Identifikation von Verzerrungen in der Risikowahrnehmung Vertraulichkeitsrisiken Unter Vertraulichkeit verstehen wir, dass Daten ausschließlich von autorisierten Benutzern gelesen werden Abhören der Übertragung Einsehen von Daten beim Anbieter Datenweitergabe durch Anbieter Einsehen von Daten auf internen Systemen Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] Risikoabschätzung der Sicherheitsexperten (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 33

34 Identifikation von Verzerrungen in der Risikowahrnehmung Integritätsrisiken Unter Integrität verstehen wir, dass Daten nicht von Unbefugten verändert, z. B. manipuliert, werden Datenmanipulation während Übertragung Datenmanipulation beim Anbieter Datenveränderung während Übertragung Datenveränderung beim Anbieter Ändern von Daten auf internen Systemen Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] Risikoabschätzung der Sicherheitsexperten (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 34

35 Identifikation von Verzerrungen in der Risikowahrnehmung Verfügbarkeitsrisiken Unter Verfügbarkeit verstehen wir, dass der Zugriff auf das Angebot und die Daten zu jedem (vom Kunden gewünschten) Zeitpunkt möglich ist Einstellung des Angebots Ungewollte Ausfälle Angriffe auf Verfügbarkeit Verlust von Zugriff auf Daten Datenverluste beim Anbieter Nichtverfügbarkeit interner Systeme Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] Risikoabschätzung der Sicherheitsexperten (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 35

36 Identifikation von Verzerrungen in der Risikowahrnehmung Leistungsrisiken Unter Leistung verstehen wir, dass die Nutzung des Angebots und der Daten in der Geschwindigkeit erfolgen kann, die den Leistungsanforderungen der Kunden entspricht Geschwindigkeitsprobleme Unzureichende Skalierbarkeit Bewusste Minderleistung nach Vertragsabschluss Geschwindigkeitsprobleme interner Systeme Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] Risikoabschätzung der Sicherheitsexperten (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 36

37 Identifikation von Verzerrungen in der Risikowahrnehmung Zurechenbarkeitsrisiken Unter Zurechenbarkeit verstehen wir, dass Authentifizierungsmechanismen nicht umgangen werden können und Aktionen im Rahmen der Nutzung des Angebots und der Daten identifizierbaren Benutzern eindeutig zugeordnet werden können Identitätsdiebstahl Unzureichende Trennung von Kunden Aktionen unzureichend protokolliert Zugriff ohne Autorisation Nichtzurechenbarkeit bei internen Aktionen Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] Risikoabschätzung der Sicherheitsexperten (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 37

38 Identifikation von Verzerrungen in der Risikowahrnehmung Anpassbarkeits- und Wartungsrisiken Unter Anpassbarkeit und Wartung verstehen wir, dass Anpassungen des Angebots an eigene bzw. geänderte Anforderungen möglich und Wartung sowie Support gewährleistet sind Unzureichende Anpassbarkeit Inkompatible Geschäftsprozesse oder Software Fehlender technologischer Fortschritt Unzureichender Datenimport Proprietäre Technologien Unzureichende Wartung Zeitlich ungünstige Updates Risikoeinschätung durch (potentielle) Nutzer [Unternehmenskunden] Risikoabschätzung der Sicherheitsexperten (1 = überhaupt nicht riskant 7 = überaus riskant) Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 38

39 Zusammenfassung Nutzer und Anbieter erwarten bis 2015 einen starken Anstieg der Relevanz des Cloud Computings (Potentielle) Nutzer schätzen die IT Sicherheitsrisiken von Cloud Computing überwiegen hoch ein Aus Sicht der Anbieter sind die Cloud Computing Dienste überwiegend gut geschützt und alle notwendigen IT Sicherheitsmaßnahmen umgesetzt Gegenüberstellung der Risikoeinschätzung von Nutzern und Sicherheitsexperten verdeutlicht teilweise starke Überschätzung der IT Sicherheitsrisiken mit erheblichen negativen Folgen für die Nutzung Ursachen für verzerrte Wahrnehmung von IT Sicherheitsrisiken noch weitgehend unbekannt weitere Forschung notwendig Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 39

40 Vielen Dank für Ihre Teilnahme Bei Rückfragen können Sie sich gerne an uns wenden: Prof. Dr. Peter Buxmann André Loske Technische Universität Darmstadt CASED Mornewegstr Darmstadt Telefon: Web: Ergebnisbericht der Studie: Wahrgenommene IT-Sicherheitsrisiken von Cloud Computing TU Darmstadt CASED 40