Ist Cloud Computing ein Risiko?

In diesem Artikel werden wir erörtern, wie Cloud-Computing-Risikoszenarien auf der Grundlage von Methoden zur Quantifizierung von Cyberrisiken (CRQ), wie digitale Ressourcen identifiziert werden können und wie die anstehende Entscheidung in Bezug auf Cloud Computing anhand vertretbarer Datenpunkte definiert werden kann.

Christophe Forêt

An article from

Christophe Forêt
President and co-founder of C-Risk
Published
November 14, 2024
Updated
December 20, 2023
Reading time
minutes
Cloud-Computing-Cyberrisiko - C-Risk

Verwaltung von Cloud-Computing-Risikoszenarien mit CRQ-Methoden

In einem Guess Who-Spiel werden einfache Ja- oder Nein-Fragen gestellt. Wenn Sie jedoch die Bedenken Ihres Unternehmens in Bezug auf Cloud Computing auf den Punkt bringen möchten, ist es wichtig, aussagekräftige, offene Fragen zu stellen, die Ihre digitalen Ressourcen, Bedrohungen für Ihre Ressourcen, Sicherheitslücken und die Auswirkungen, die diese auf Ihr Unternehmen haben könnten, berücksichtigen. CRQ unter Verwendung der FAIRER Standard ist ein wertvolles Instrument zur Analyse von 'was könnte möglicherweise schief gehen'Bedenken in Bezug auf Cloud Computing. CRQ-Risikoszenarien liefern verwertbare Informationen. Es handelt sich um eine quantitative Methode, die Entscheidungsträger auf C-Ebene in finanzieller Hinsicht anspricht.

Welche Risikoszenarien sind mit der Bereitstellung von IT-Diensten mithilfe eines Cloud-basierten Modells verbunden?

Laut dem Thales Data Threat Report 2023 Ransomware und menschliches Versagen sind die Hauptursachen für Cloud-Datenschutzverletzungen. IT- und Sicherheitsexperten identifizierten digitale Ressourcen in der Cloud als die größten Ziele für Cyberangriffe. SaaS-Apps und Cloud-Speicher waren die größten Ziele, gefolgt von der Cloud-Infrastruktur (IaaS). Da Unternehmen zunehmend von PaaS- und SaaS-Tools abhängig sind, müssen sich die traditionellen Denkweisen über Geschäftsrisiken weiterentwickeln.

Lassen Sie uns mit einer Definition von Cloud Computing beginnen. Eine einfache, aber nützliche Definition ist eine „Methode zur Bereitstellung von IT-Diensten über das Internet“. Bevor Sie sich die Risikoszenarien ansehen können, die mit der Bereitstellung von IT-Services mithilfe eines Cloud-basierten Modells verbunden sind, müssen Sie definieren, welche digitalen Ressourcen geschützt werden müssen.

Was ist ein digitales Asset?

Laut FAIR öffnen, wenn es um Informationsrisiken geht, ist ein Vermögenswert Daten, Geräte oder andere Komponenten, die informationsbezogene Aktivitäten unterstützen, auf die illegal zugegriffen, verwendet, offengelegt, verändert, zerstört und/oder gestohlen werden kann, was zu Verlusten führen kann. Bei einem digitalen Vermögenswert kann es sich um Daten handeln, die in einem digitalen Format gespeichert sind. Es könnte unstrukturiert oder strukturiert sein. Zu den unstrukturierten Daten gehören textlastige und multimediale Dateien wie Marketingmaterial und interne Kommunikation. Zu den strukturierten Daten gehören Rechnungsinformationen, Datenbanken, Produktlisten und Seriennummern, die in der Regel von einer Anwendung verarbeitet werden.

Unstrukturierte Daten sind ein bedeutendes digitales Kapital für Unternehmen jeder Größe. Unternehmen nutzen SaaS-Plattformen für Filesharing wie Sharepoint oder Dropbox für die Verwaltung digitaler Vermögenswerte. Diese Dokumentenbibliotheken können vertrauliche Informationen wie geistiges Eigentum (IP) oder persönlich identifizierbare Informationen (PII) enthalten. Und wenn vertrauliche Informationen nicht gesichert sind, können sie kompromittiert werden.

In den letzten Jahren ist das Arbeiten von zu Hause aus zur Norm geworden, und die Mitarbeiter verwenden mehrere Geräte, um Dateien zu erstellen und darauf zuzugreifen und mit Kollegen und externen Stakeholdern zu kommunizieren. Das Teilen von Dokumenten mit Kollegen oder das Senden von E-Mail-Links an externe Stakeholder ist alltäglich, ebenso die Verwendung mehrerer Geräte für den Zugriff auf Unternehmensdaten, die auf Plattformen wie SharePoint gespeichert sind. Die Menge an PII und IP, die auf diesen Plattformen erstellt und geteilt wird, ist enorm. Welche Rolle spielen diese digitalen Ressourcen für ein einzelnes Unternehmen bei Ihren Abläufen, Investitionen und Geschäftsentscheidungen?

Andere Arten von digitalen Assets sind Anwendungen (und ihre Komponenten), die verwendet werden, um direkt Umsatz zu generieren, Mitarbeitern indirekt die Arbeit zu ermöglichen oder das Produkt in einer Produktionsumgebung herzustellen.

Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.

Entwickeln Sie mithilfe der Quantifizierung von Cyberrisiken ein robustes, risikobasiertes Cybersicherheitsprogramm

Learn more

Building a risk universe

Now that we have discussed digital assets and provided a few examples, let’s look at how to build a risk scenario with your assets. These scenarios will be used to measure and communicate risk. When we talk about risks using the Open FAIR standard, “risk” is defined as ‘the probable frequency and probable magnitude of future loss’. A broad view of the digital assets in scope are used to define a universe of probable risk scenarios.

The following questions will help further develop the risk universe for cloud services:

Does your company have concerns about existing cloud-computing services? Or will this be the first time your company has moved critical services to the cloud?

What digital assets do you already have in the cloud? What digital assets are you going to put in the cloud or build using cloud services?

Some examples of cloud assets in scope could be:

  • Unstructured IP data stored on a SharePoint Site.
  • Unstructured IP data stored on a business-managed file sharing SaaS.
  • Structured PII data hosted on a marketing platform.
  • An internet facing eCommerce platform.
  • Sensitive employee PII data stored in a HR SaaS platform.
  • The Azure or AWS IaaS virtual data center core infrastructure components.
  • A document repository containing commercially sensitive data used by the board to exchange information.
  • External API’s

Now that we have this list of assets in scope, we can consider the threat actors and probable impact (or loss). In parallel, we should also consider the attack vectors and controls that are already in place. With these elements, we can build a risk universe to measure and communicate how to manage digital assets in the cloud. A simple way to understand a risk scenario is with the following equation:

Risk scenario = an asset in scope + a threat + an impact (or loss)

Here are some examples of risk scenarios concerning these assets:

  • The risk of an external malicious threat actor breaching sensitive employee PII data from the HR SaaS platform via the use of stolen privileged access credentials.
  • The risk of an external malicious threat actor breaching confidential unstructured data containing IP from a business-managed file sharing SaaS via the use of misconfigured internet facing API.
  • The risk of a privileged insider accidentally breaching PII data from a marketing platform by misconfiguring a campaign.

With the scenarios defined, you can then define the decision at hand using the measurable results from the risk analysis.

Quantified cloud risk analysis supports business decisions

The starting point or first decision often consists of educating a stakeholder group about the high-level cyber risk scenarios using qualitative methods. The results are often presented using heat maps or with an ordinal scale by putting the variables into ordered categories ranging from low to high. These methods have their place in risk management. But if you also have quantitative data like monetary values for loss or ratio scales associated with the same risk scenarios, your data is more defensible.

With quantitative data you can:

- Rank and prioritize risk scenarios for remediation.

- Look at the cost-benefit associated with migrating to a cloud-based delivery system

- Present control enhancements for cloud services with ROI considerations

Managing cloud computing risk in financial terms

The adoption of cloud services often promises greater business agility and a faster time to market in what is an increasingly competitive environment. It is often unclear as to whether cloud will also increase or reduce cyber risk exposure.

With a CRQ approach, decision-makers can measure the impact of using cloud services in financial terms by taking into consideration both the benefits and potential risks.

Other decisions or use cases could be to analyse a certain control that is in place and if will it reduce or contain a given risk scenario. The board may also want to know if a cyber insurance policy will reduce risk exposure to a cloud risk scenario or the CEO and CFO may question whether the adoption of new policy which restricts the use of SaaS file sharing is a good business decision. The cost of a data breach can be estimated using CRQ methods.

FAQ

Wie definiert man ein Cloud-Risikoszenario?

Definieren Sie den Umfang Ihres Vermögenswerts. Beschreiben Sie dann eine Bedrohung für dieses Asset. Und schließlich, welche Auswirkungen oder welchen Verlust hat ein Bedrohungsereignis?

Was ist ein digitales Asset?

Ein digitales Asset sind strukturierte oder unstrukturierte Daten, die in einem digitalen Format gespeichert sind, z. B. Word-Dateien, Datenbankdateien, Multimediadateien usw.

Was sind die Vorteile von CRQ-Methoden für das Cloud-Risikomanagement?

Methoden zur Quantifizierung von Cyberrisiken (CRQ) berücksichtigen messbare Faktoren und verwenden Statistiken und Wahrscheinlichkeiten, um Risiken in quantitativer (finanzieller) Hinsicht abzuschätzen, sodass Entscheidungsträger die finanziellen Auswirkungen von Cloud-Risikoereignissen verstehen können.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Erfahre mehr

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.

See all articles
quantifying M&A activities - C-Risk

Quantifizierung der Effizienz von Fusionen und Übernahmen

Wie managt man Cyberrisiken im Zusammenhang mit Fusionen und Übernahmen? Sehen Sie sich die Diskussion der Experten von C-Risk und RiskLens in einem 45-minütigen Webinar an.

Christophe Forêt

4/10/2023
Mitm Attack Cybersicherheit - C-Risk

Was ist ein Man-in-the-Middle-Angriff (MITM)? Wie kann man geschützt werden?

MITM-Cyberangriff: Was ist das? Wie funktioniert es? Wie kann man das leicht verhindern?

Léa Goichon

10/5/2023
krisenkommunikation - C-Risk

So verwalten Sie die Krisenkommunikation nach einem Cyberangriff

Learn how to effectively manage crisis communication after a cyberattack Gain key strategies, target messaging, and steps to protect your brand.

Christophe Forêt

21/8/2023

C-Risk ist ein renommierter Experte für die Quantifizierung von Cyber-Risiken mit der FAIR™-Methode. Wir bieten CRQ-Beratung, Verwaltungsdienste und Schulungen an.

Unsere Lösungen
CRQ as a ServiceCRQ Enablement ServiceCRQ Beratungs- und Cosultingdienste
Unsere Lösungen
SAFE One CRQ-PlattformSAFE One Cyberrisikomanagement durch Drittanbieter
C-Risk Education
CRQ-SchulungE-learning
Anwendungsfälle
Kommunikation mit Vorstand und GeschäftsleitungCyberrisikomanagement von DrittanbieternMergers & AcquisitonsOptimieren Sie den Cyber-VersicherungsschutzDimensionen, Zuteilung und Begründung eines Infosec-BudgetsErleichterung der Einhaltung gesetzlicher VorschriftenCISO — Priorisierung der wichtigsten Risiken und Kontrollen
Ressourcen
BlogNeuigkeitenVideos
Firma
Über C-RiskKarrierePartnerC-Risk in den Nachrichten
Ihre Rolle
Executive ManagementCISORisiko-Experten
Kontakt
Kontaktieren Sie uns
Sprache
Erstellt von Sales Odyssey
Rechtlicher HinweisDatenschutz