Ist Cloud Computing ein Risiko?

In diesem Artikel werden wir erörtern, wie Cloud-Computing-Risikoszenarien auf der Grundlage von Methoden zur Quantifizierung von Cyberrisiken (CRQ), wie digitale Ressourcen identifiziert werden können und wie die anstehende Entscheidung in Bezug auf Cloud Computing anhand vertretbarer Datenpunkte definiert werden kann.

Christophe Forêt

An article from

Christophe Forêt
President and co-founder of C-Risk
Published
November 14, 2024
Updated
December 20, 2023
Reading time
minutes
Cloud-Computing-Cyberrisiko - C-Risk

Verwaltung von Cloud-Computing-Risikoszenarien mit CRQ-Methoden

In einem Guess Who-Spiel werden einfache Ja- oder Nein-Fragen gestellt. Wenn Sie jedoch die Bedenken Ihres Unternehmens in Bezug auf Cloud Computing auf den Punkt bringen möchten, ist es wichtig, aussagekräftige, offene Fragen zu stellen, die Ihre digitalen Ressourcen, Bedrohungen für Ihre Ressourcen, Sicherheitslücken und die Auswirkungen, die diese auf Ihr Unternehmen haben könnten, berücksichtigen. CRQ unter Verwendung der FAIRER Standard ist ein wertvolles Instrument zur Analyse von 'was könnte möglicherweise schief gehen'Bedenken in Bezug auf Cloud Computing. CRQ-Risikoszenarien liefern verwertbare Informationen. Es handelt sich um eine quantitative Methode, die Entscheidungsträger auf C-Ebene in finanzieller Hinsicht anspricht.

Welche Risikoszenarien sind mit der Bereitstellung von IT-Diensten mithilfe eines Cloud-basierten Modells verbunden?

Laut dem Thales Data Threat Report 2023 Ransomware und menschliches Versagen sind die Hauptursachen für Cloud-Datenschutzverletzungen. IT- und Sicherheitsexperten identifizierten digitale Ressourcen in der Cloud als die größten Ziele für Cyberangriffe. SaaS-Apps und Cloud-Speicher waren die größten Ziele, gefolgt von der Cloud-Infrastruktur (IaaS). Da Unternehmen zunehmend von PaaS- und SaaS-Tools abhängig sind, müssen sich die traditionellen Denkweisen über Geschäftsrisiken weiterentwickeln.

Lassen Sie uns mit einer Definition von Cloud Computing beginnen. Eine einfache, aber nützliche Definition ist eine „Methode zur Bereitstellung von IT-Diensten über das Internet“. Bevor Sie sich die Risikoszenarien ansehen können, die mit der Bereitstellung von IT-Services mithilfe eines Cloud-basierten Modells verbunden sind, müssen Sie definieren, welche digitalen Ressourcen geschützt werden müssen.

Was ist ein digitales Asset?

Laut FAIR öffnen, wenn es um Informationsrisiken geht, ist ein Vermögenswert Daten, Geräte oder andere Komponenten, die informationsbezogene Aktivitäten unterstützen, auf die illegal zugegriffen, verwendet, offengelegt, verändert, zerstört und/oder gestohlen werden kann, was zu Verlusten führen kann. Bei einem digitalen Vermögenswert kann es sich um Daten handeln, die in einem digitalen Format gespeichert sind. Es könnte unstrukturiert oder strukturiert sein. Zu den unstrukturierten Daten gehören textlastige und multimediale Dateien wie Marketingmaterial und interne Kommunikation. Zu den strukturierten Daten gehören Rechnungsinformationen, Datenbanken, Produktlisten und Seriennummern, die in der Regel von einer Anwendung verarbeitet werden.

Unstrukturierte Daten sind ein bedeutendes digitales Kapital für Unternehmen jeder Größe. Unternehmen nutzen SaaS-Plattformen für Filesharing wie Sharepoint oder Dropbox für die Verwaltung digitaler Vermögenswerte. Diese Dokumentenbibliotheken können vertrauliche Informationen wie geistiges Eigentum (IP) oder persönlich identifizierbare Informationen (PII) enthalten. Und wenn vertrauliche Informationen nicht gesichert sind, können sie kompromittiert werden.

Was ist ein digitales Asset?

In den letzten Jahren ist das Arbeiten von zu Hause aus zur Norm geworden, und die Mitarbeiter verwenden mehrere Geräte, um Dateien zu erstellen und darauf zuzugreifen und mit Kollegen und externen Stakeholdern zu kommunizieren. Das Teilen von Dokumenten mit Kollegen oder das Senden von E-Mail-Links an externe Stakeholder ist alltäglich, ebenso die Verwendung mehrerer Geräte für den Zugriff auf Unternehmensdaten, die auf Plattformen wie SharePoint gespeichert sind. Die Menge an PII und IP, die auf diesen Plattformen erstellt und geteilt wird, ist enorm. Welche Rolle spielen diese digitalen Ressourcen für ein einzelnes Unternehmen bei Ihren Abläufen, Investitionen und Geschäftsentscheidungen?

Andere Arten von digitalen Assets sind Anwendungen (und ihre Komponenten), die verwendet werden, um direkt Umsatz zu generieren, Mitarbeitern indirekt die Arbeit zu ermöglichen oder das Produkt in einer Produktionsumgebung herzustellen.

Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.

Entwickeln Sie mithilfe der Quantifizierung von Cyberrisiken ein robustes, risikobasiertes Cybersicherheitsprogramm

Learn more

Aufbau eines Risikouniversums

Nachdem wir nun über digitale Vermögenswerte gesprochen und einige Beispiele angeführt haben, schauen wir uns an, wie Sie mit Ihren Vermögenswerten ein Risikoszenario erstellen können. Diese Szenarien werden verwendet, um Risiken zu messen und zu kommunizieren. Wenn wir anhand des Open FAIR-Standards über Risiken sprechen, wird „Risiko“ als „die wahrscheinliche Häufigkeit und das wahrscheinliche Ausmaß zukünftiger Verluste“ definiert. Ein umfassender Überblick über die erfassten digitalen Vermögenswerte wird verwendet, um ein Universum wahrscheinlicher Risikoszenarien zu definieren.

Die folgenden Fragen werden dazu beitragen, das Risikouniversum für Cloud-Dienste weiterzuentwickeln:

Hat Ihr Unternehmen Bedenken hinsichtlich vorhandener Cloud-Computing-Dienste? Oder wird es das erste Mal sein, dass Ihr Unternehmen wichtige Dienste in die Cloud verlagert?

Welche digitalen Ressourcen haben Sie bereits in der Cloud? Welche digitalen Ressourcen werden Sie in die Cloud stellen oder mithilfe von Cloud-Diensten erstellen?

Einige Beispiele für Cloud-Ressourcen im Geltungsbereich könnten sein:

  • Unstrukturierte IP-Daten, die auf einer SharePoint-Website gespeichert sind.
  • Unstrukturierte IP-Daten, die auf einem vom Unternehmen verwalteten Filesharing-SaaS gespeichert sind.
  • Strukturierte PII-Daten, die auf einer Marketingplattform gehostet werden.
  • Eine E-Commerce-Plattform mit Internetanschluss.
  • Sensible personenbezogene Mitarbeiterdaten, die auf einer HR-SaaS-Plattform gespeichert sind.
  • Die Kerninfrastrukturkomponenten des virtuellen Azure- oder AWS-IaaS-Rechenzentrums.
  • Ein Dokumentenspeicher mit wirtschaftlich sensiblen Daten, die vom Vorstand zum Informationsaustausch verwendet werden.
  • Externe APIs

Jetzt, da wir über diese Liste von Vermögenswerten verfügen, können wir die Bedrohungsakteure und die wahrscheinlichen Auswirkungen (oder Verluste) berücksichtigen. Parallel dazu sollten wir auch die Angriffsvektoren und Kontrollen berücksichtigen, die bereits vorhanden sind. Mit diesen Elementen können wir ein Risikouniversum aufbauen, das wir messen und kommunizieren wie man digitale Assets in der Cloud verwaltet. Ein Risikoszenario lässt sich auf einfache Weise anhand der folgenden Gleichung verstehen:

Risikoszenario = ein Vermögenswert im Geltungsbereich + eine Bedrohung + eine Auswirkung (oder ein Verlust)

Hier sind einige Beispiele für Risikoszenarien in Bezug auf diese Vermögenswerte:

  • Das Risiko, dass ein externer böswilliger Bedrohungsakteur mithilfe gestohlener privilegierter Zugangsdaten in sensible personenbezogene Mitarbeiterdaten von der HR-SaaS-Plattform eindringt.
  • Das Risiko, dass ein externer böswilliger Bedrohungsakteur mithilfe einer falsch konfigurierten, mit dem Internet verbundenen API in vertrauliche unstrukturierte Daten eindringt, die geistiges Eigentum von einem vom Unternehmen verwalteten Filesharing-SaaS enthalten.
  • Das Risiko, dass ein privilegierter Insider versehentlich personenbezogene Daten von einer Marketingplattform missbraucht, indem er eine Kampagne falsch konfiguriert.

Nachdem die Szenarien definiert sind, können Sie dann die anstehende Entscheidung anhand der messbaren Ergebnisse der Risikoanalyse definieren.

Quantifizierte Cloud-Risikoanalysen unterstützen Geschäftsentscheidungen

Der Ausgangspunkt oder die erste Entscheidung besteht häufig darin, eine Interessengruppe mithilfe qualitativer Methoden über die Cyberrisikoszenarien auf hoher Ebene aufzuklären. Die Ergebnisse werden häufig mit folgenden Methoden präsentiert Heatmaps oder mit einer Ordinalskala, indem die Variablen in geordnete Kategorien von niedrig bis hoch eingeteilt werden. Diese Methoden haben ihren Platz in Risikomanagement. Wenn Sie jedoch über quantitative Daten wie monetäre Verlustwerte oder Verhältnisskalen verfügen, die denselben Risikoszenarien zugeordnet sind, sind Ihre Daten besser vertretbar.

Mit quantitativen Daten können Sie:

- Ordnen Sie Risikoszenarien für die Behebung ein und priorisieren Sie sie.

- Schauen Sie sich den Kostenvorteil an, der mit der Migration zu einem Cloud-basierten Bereitstellungssystem verbunden ist

- Präsentieren Sie Verbesserungen der Steuerung für Cloud-Dienste unter Berücksichtigung des ROI

Umgang mit Cloud-Computing-Risiken in finanzieller Hinsicht

Die Einführung von Cloud-Diensten verspricht oft eine größere geschäftliche Agilität und eine schnellere Markteinführung in einem zunehmend wettbewerbsintensiven Umfeld. Oft ist unklar, ob die Cloud auch das Cyberrisiko erhöhen oder verringern wird.

Mit einem CRQ-Ansatz können Entscheidungsträger die Auswirkungen der Nutzung von Cloud-Diensten in finanzielle Bedingungen indem sowohl die Vorteile als auch die potenziellen Risiken berücksichtigt werden.

Andere Entscheidungen oder Anwendungsfälle könnten darin bestehen, eine bestimmte bestehende Kontrolle zu analysieren und zu prüfen, ob sie ein bestimmtes Risikoszenario reduzieren oder eindämmen wird. Der Vorstand möchte möglicherweise auch wissen, ob eine Cyber-Versicherung das Risiko, das einem Cloud-Risikoszenario ausgesetzt ist, verringern wird, oder der CEO und der CFO fragen sich, ob die Verabschiedung einer neuen Richtlinie, die die Nutzung von SaaS-Filesharing einschränkt, eine gute Geschäftsentscheidung ist. Die Kosten einer Datenschutzverletzung können mithilfe von CRQ-Methoden geschätzt werden.

FAQ

Wie definiert man ein Cloud-Risikoszenario?

Definieren Sie den Umfang Ihres Vermögenswerts. Beschreiben Sie dann eine Bedrohung für dieses Asset. Und schließlich, welche Auswirkungen oder welchen Verlust hat ein Bedrohungsereignis?

Was ist ein digitales Asset?

Ein digitales Asset sind strukturierte oder unstrukturierte Daten, die in einem digitalen Format gespeichert sind, z. B. Word-Dateien, Datenbankdateien, Multimediadateien usw.

Was sind die Vorteile von CRQ-Methoden für das Cloud-Risikomanagement?

Methoden zur Quantifizierung von Cyberrisiken (CRQ) berücksichtigen messbare Faktoren und verwenden Statistiken und Wahrscheinlichkeiten, um Risiken in quantitativer (finanzieller) Hinsicht abzuschätzen, sodass Entscheidungsträger die finanziellen Auswirkungen von Cloud-Risikoereignissen verstehen können.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Erfahre mehr

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.

See all articles
quantifying M&A activities - C-Risk

Quantifizierung der Effizienz von Fusionen und Übernahmen

Wie managt man Cyberrisiken im Zusammenhang mit Fusionen und Übernahmen? Sehen Sie sich die Diskussion der Experten von C-Risk und RiskLens in einem 45-minütigen Webinar an.

Christophe Forêt

4/10/2023
Mitm Attack Cybersicherheit - C-Risk

Was ist ein Man-in-the-Middle-Angriff (MITM)? Wie kann man geschützt werden?

MITM-Cyberangriff: Was ist das? Wie funktioniert es? Wie kann man das leicht verhindern?

Léa Goichon

10/5/2023
krisenkommunikation - C-Risk

So verwalten Sie die Krisenkommunikation nach einem Cyberangriff

Learn how to effectively manage crisis communication after a cyberattack Gain key strategies, target messaging, and steps to protect your brand.

Christophe Forêt

21/8/2023

C-Risk ist ein renommierter Experte für die Quantifizierung von Cyber-Risiken mit der FAIR™-Methode. Wir bieten CRQ-Beratung, Verwaltungsdienste und Schulungen an.

Unsere Lösungen
CRQ as a ServiceCRQ Enablement ServiceCRQ Beratungs- und Cosultingdienste
Unsere Lösungen
SAFE One CRQ-PlattformSAFE One Cyberrisikomanagement durch Drittanbieter
C-Risk Education
CRQ-SchulungE-learning
Anwendungsfälle
Kommunikation mit Vorstand und GeschäftsleitungCyberrisikomanagement von DrittanbieternMergers & AcquisitonsOptimieren Sie den Cyber-VersicherungsschutzDimensionen, Zuteilung und Begründung eines Infosec-BudgetsErleichterung der Einhaltung gesetzlicher VorschriftenCISO — Priorisierung der wichtigsten Risiken und Kontrollen
Ressourcen
BlogNeuigkeitenVideos
Firma
Über C-RiskKarrierePartnerC-Risk in den Nachrichten
Ihre Rolle
Executive ManagementCISORisiko-Experten
Kontakt
Kontaktieren Sie uns
Sprache
Erstellt von Sales Odyssey
Rechtlicher HinweisDatenschutz