SlideShare ist ein Scribd-Unternehmen logo
© Fraunhofer IAO
»SICHERE CLOUD«
Sicherheit in Cloud-Computing-Systemen
Umfrage des Fraunhofer IAO, 2011
© Fraunhofer IAO
2
Cloud Computing gilt als eine der wichtigsten Innovationen in der (IKT-) Wirtschaft der vergangenen Jahre. Die
Idee ist, dass Speicherplatz, Rechenleistung und konkrete Software-Anwendungen nicht mehr beim Anwender
selbst vorgehalten, sondern extern als Dienstleistung eingekauft werden.
Vielversprechend sind die Möglichkeiten, die sich durch das Outsourcing von Rechen-, Speicher- und IT-
Dienstleistungen für Unternehmen ergeben. Bevor Unternehmen jedoch in die Wolke ziehen, müssen
grundlegende Fragestellungen geklärt werden; speziell die Frage nach der Sicherheit ist vorrangig.
Aus diesem Grund erforscht das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Zusammenarbeit
mit der BITKOM, inwiefern Cloud-Anbieter auf die Sicherheitsanforderungen potenzieller Kunden vorbereitet sind.
In diesem Zusammenhang wurden ein Stimmungsbild und konkrete Unternehmensanforderungen erhoben.
Cloud Computing und Sicherheit
3
© Fraunhofer IAO
Fraunhofer-Gesellschaft im Profil
 Gründungsjahr: 1949
 18 000 Mitarbeiter
 Mehr als 80 Forschungseinrichtungen,
davon 60 Institute als selbständige Profit-Center
 Fraunhofer International
Europa: Brüssel (Belgien), Moskau (Russland),
Budapest (Ungarn), Jönköping (Schweden),
Bozen (Italien) u.a.
USA: Boston (Massachusetts), Pittsburgh (Pennsylvania),
Plymouth (Michigan), Providence (Rhode Island),
College Park (Maryland), Peoria (Illinois)
Asien: Ampang (Malaysia), Beijing (China), Jakarta (Indonesien),
Koramangala Bangalore (Indien), Seoul (Korea), Singapur, Tokio
(Japan)
Naher Osten: Dubai (VAE), Kairo (Ägypten)
4
© Fraunhofer IAO
Fraunhofer IAO im Profil
www.iao.fraunhofer.de
 Gründungsjahr: 1981
 Institutsleiter: Prof. Dr.-Ing. Dr.-Ing. E.h.
Dieter Spath
 Finanzvolumen: 31,5 Mio. €, davon 33%
im Auftrag der Wirtschaft
 Mitarbeiter: 480 Mitarbeiter*
*Daten 2010, inklusive IAT der Universität Stuttgart
© Fraunhofer IAO
5
Cloud-Forschung am Fraunhofer IAO:
Die Fraunhofer-Allianz Cloud Computing
Die Fraunhofer-Allianz Cloud Computing ist ein Verbund von derzeit acht Fraunhofer-Instituten, die sich in
Forschung und Industrieprojekten mit unterschiedlichen Themenstellungen im Bereich des Cloud Computing – und
zuvor bereits mit thematisch verwandten Bereichen wie Grid Computing, Utility Computing und Serviceorientierte
Architekturen – befassen.
Im Rahmen der Fraunhofer-Allianz Cloud Computing bündeln die beteiligten Institute ihre Kompetenzen, um
Kunden und Forschungspartnern gegenüber eine zentrale Anlaufstelle in Fragen der Vernetzung und optimierten
Nutzung verteilter IT-Ressourcen anzubieten. Die Fraunhofer-Allianz Cloud Computing bietet ein breites
Leistungsspektrum an, welches das koordinierte Know-how der beteiligten Institute umfasst und für den Kunden
als eine Einheit mit einem zentralen Ansprechpartner angeboten werden kann.
Die Kompetenzen der acht Fraunhofer-Institute liegen in den folgenden Bereichen:
 Betriebs- und Geschäftsmodelle
 Prozessmanagement
 Ressourcenplanung
 Anwendungsentwicklung
 Life Cycle Management für
Cloud Services und Cloud-
Umgebungen
www.cloud.fraunhofer.de
© Fraunhofer IAO
6
Sicherheitsbezogene Cloud-Forschung am Fraunhofer IAO:
BMWi-geförderte Projekte im Rahmen von Trusted Cloud
Die Fraunhofer-Gesellschaft ist im Rahmen von Trusted Cloud in acht von vierzehn durch das Bundesministerium
für Wirtschaft und Technologie geförderten Projekten beteiligt:
 Cloud4E
 CloudCycle
 goBerlin
 HealthCloud
Das Fraunhofer IAO ist an den Projekten CLOUDwerker und SkIDentity beteiligt.
In dem Projekt CLOUDwerker entstehen entsprechend den Anforderungen von Handwerksbetrieben und unter
Berücksichtigung vorhandener, Cloud-basierter Lösungen Dienstebündel mit dazugehörigen Geschäftsmodellen
auf einer vertrauenswürdigen, offenen Service-Plattform, welche die Geschäftsprozesse in kleinen und
mittelständischen Unternehmen sicher unterstützen.
Im Projekt SkIDentity wird eine tragfähige Brücke zwischen den sicheren elektronischen Ausweisen (eID) und
den heute existierenden bzw. sich entwickelnden Cloud-Computing-Infrastrukturen geschlagen.
Somit können vertrauenswürdige Identitäten für die Cloud bereitgestellt und komplette Prozess- und
Wertschöpfungsketten sicher gestaltet werden.
 MIA
 Sealed Cloud
 SkIDentity
 CLOUDwerker
7
© Fraunhofer IAO
»SICHERE CLOUD«
 Untersuchungsdesign
 Ergebnisse der Studie
 Ausblick
 Ansprechpartner
© Fraunhofer IAO
8
Untersuchung zu Sicherheit in Cloud-Computing-Systemen
Zielgruppe
Untersuchungs-
bereiche
Untersuchungs-
umfang
Untersuchungs-
zeitraum
IT-Entscheider und IT-Professionals in Deutschland
142 Personen
(bei 3.000 angeschriebenen Personen)
Juni und Juli 2011
Untersuchungssteckbrief
Aktuelle Einschätzung der Sicherheit von Cloud-Angeboten
Kriterien für eine »Sichere Cloud«
Sicherheitsanforderungen von Anwendern
© Fraunhofer IAO
9
Hinweise
Die vorliegende Foliendokumentation liefert eine Gesamtauswertung der Daten. Die angegebenen Prozentwerte
beziehen sich immer auf die gültigen Antworten. Auf- und Abrundungen können dazu führen, dass die Summenwerte
leicht von 100 Prozent abweichen. In die Aufbereitung und Dokumentation der Untersuchungsergebnisse flossen nur
solche Erkenntnisse ein, die unter statistischen Gesichtspunkten über eine genügend hohe Aussagekraft verfügten.
© Fraunhofer IAO
10
Verteilung nach Branche
Die Branchenverteilung zeigt mit einem Drittel Rückläuferanteil einen Schwerpunkt in der IT-Branche. Mit 14 Prozent
Anteil sind IT-Entscheider aus Bildung und Forschung am zweithäufigsten vertreten. Jeweils acht Prozent der
Teilnehmer sind im Bereich von Consulting oder Finanz- und Versicherungsdienstleistungen aktiv. Ein relativ kleiner,
jedoch auswertbarer Anteil, ist dem Maschinen- und Anlagenbau oder der öffentlichen Verwaltung zuzurechnen (je
sechs Prozent). Unter sonstige Branchen (25 Prozent) fielen einzelne Vertreter aus der Automobil-, Luft- und Raumfahrt
sowie Konsumgüterindustrie, Handel und Gewerbe oder aus dienstleistungsintensiven Zweigen wie Transport und
Logistik, Energie- und Wasserversorgung sowie Gesundheits- und Sozialwesen.
n = 137
Bildung, Forschung
Consulting
Finanz-, Versicherungsdienstleistungen
Öffentliche Verwaltung
Sonstige Branchen
Information und Kommunikation
Maschinen- und Anlagenbau
©FraunhoferIAO
11
© Fraunhofer IAO
»SICHERE CLOUD«
 Untersuchungsdesign
 Ergebnisse der Studie
 Aktuell wahrgenommene Cloud Security
 Sicherheitsbedarf bei Anwendern
 Ansprechpartner
© Fraunhofer IAO
12
In welchem Rahmen beschäftigen Sie sich
mit Cloud Computing?
Mein Unternehmen bzw. meine Organisation ist
Anbieter von Cloud-Angeboten.
Mein Unternehmen bzw. meine Organisation ist
Nutzer von Cloud-Angeboten.
Mein Unternehmen bzw. meine Organisation
interessiert sich unabhängig von aktuellem Angebot
bzw. aktueller Nutzung für Cloud Computing.
Mein Interesse ist unabhängig von meinem
Unternehmen bzw. meiner Organisation.
Sonstiges
©FraunhoferIAO
n = 139
Der Großteil der Teilnehmer interessiert sich unabhängig von der Cloud-Nutzung oder des Cloud-Angebots ihres
Arbeitgebers für das Thema Cloud Computing. Ein ähnlich großer Anteil (39 Prozent) der Befragten gab an, dass ihr
Arbeitgeber Cloud-Lösungen entweder nutzt oder anbietet. Diese Werte zeigen , dass sich Unternehmen aufteilen in
die, die früh neue Technologien benutzen und bewerten und die, die warten und analysieren, wann es sich für sie
lohnt, die neue Technologie zu benutzen. Die 14 Prozent der Teilnehmer, die aus einem Eigeninteresse teilnehmen,
lassen sich als Privatpersonen interpretieren.
© Fraunhofer IAO
13
Wo liegen Ihre Schwerpunkte im Zusammenhang mit
Cloud Computing?*
n = 53
Private Cloud
Public Cloud
26 %
49 %
43 %
80 %
45 %
26 %
Software-as-a-Service (SaaS)
Platform-as-a-Service (PaaS)
Hybrid Cloud
Infrastructure-as-a-Service (IaaS)
0 10 20 30 40 50 60 70 80 %
© Fraunhofer IAO
* Mehrfachantworten möglich
Diese Frage ist eine Anschlussfrage, die gestellt wurde, falls Teilnehmer in der vorherigen Frage angaben, bereits
Cloud-Lösungen zu nutzen bzw. anzubieten. Ein eindeutiger Schwerpunkt liegt hier beim Thema Software-as-a-
Service. 80 Prozent der Befragten nutzen bzw. bieten bereits Softwarelösungen aus der Cloud. Die Antworten auf die
Frage, wo die jeweiligen Services installiert werden bzw. betrieben werden, sind relativ ausgeglichen zwischen dem
Betrieb im eigenen Haus (Private Cloud) und extern (Public Cloud). Es kommt im Einzelfall auf die Daten und Prozesse
an, wo diese gespeichert oder verarbeitet werden dürfen. Als weitere Betriebsmodelle wurden genannt: Remote
Private Cloud, Provider Cloud und die Unterstützung aller Modelle seitens des Cloud-Betreibers.
© Fraunhofer IAO
14
Welche Relevanz hat das Thema
»Cloud Security« für Sie?
Für die Mehrheit der Teilnehmer hat das Thema »Sicheres Cloud Computing« eine sehr hohe Relevanz.
* 1 entspricht »keine Relevanz«,
5 entspricht »sehr hohe Relevanz«
n = 141
keine
Relevanz
geringe
Relevanz
mittlere
Relevanz
hohe
Relevanz
0
10
20
30
40
%
sehr hohe
Relevanz
6 %
8 %
14 %
50
18 %
55 %
Ø 3,7*
©FraunhoferIAO
© Fraunhofer IAO
15
Als wie risikoreich stufen Sie Cloud-
Angebote nach heutigem Stand in
Bezug auf folgende Grundwerte der
IT-Sicherheit ein?
> Integrität
Verfügbarkeit
Vertraulichkeit
* 1 entspricht »sehr unsicher«,
5 entspricht »sehr sicher«
Der IT-Grundwert Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der
korrekten Funktionsweise von Systemen (Quelle: Glossar des Bundesamts für Sicherheit in der Informationstechnik BSI).
Der Inhalt und die Metadaten von Dateien werden unverändert in der Cloud gespeichert und nicht durch den Vorgang
verändert.
Die Meinungen über diesen Grundwert sind normalverteilt, was sich als Unsicherheit gegenüber dem Thema
interpretieren lässt. Daten-Integrität wurde unter Umständen bislang von den Teilnehmern nicht mit dem Thema IT-
Sicherheit in Verbindung gebracht, weswegen das Risiko in diesem Zusammenhang nur schwer eingeschätzt werden
kann.
n = 136
sehr
unsicher
unsicher mittel sicher
0
10
20
30
40
%
sehr
sicher
10 %
23 %
38 %
21 %
10 %
Ø 3,0*
©FraunhoferIAO
© Fraunhofer IAO
16
Als wie risikoreich stufen Sie Cloud-
Angebote nach heutigem Stand in
Bezug auf folgende Grundwerte der
IT-Sicherheit ein?
Integrität
> Verfügbarkeit
Vertraulichkeit
* 1 entspricht »sehr unsicher«,
5 entspricht »sehr sicher«
Der IT-Grundwert Verfügbarkeit bezeichnet die Nutzbarkeit von Dienstleistungen, Funktionen eines IT-Systems, von IT-
Anwendungen, IT-Netzen oder Informationen durch den Anwender wie vorhergesehen (Quelle: Glossar des
Bundesamts für Sicherheit in der Informationstechnik BSI). Über die Hälfte der Befragten (54 Prozent) schätzen das
Thema Verfügbarkeit als sicher bis sehr sicher ein. Sie gehen davon aus, dass die Betreiber von Cloud-Lösungen
jederzeit in der Lage sind, den Zugriff auf Daten und Prozesse zu gewährleisten. Dieser Grundwert lässt sich im
Übrigen auch gut in Service Level Agreements festlegen und während des Betriebs überwachen.
sehr
unsicher
unsicher mittel sicher sehr
sicher
4 %
11 %
31 %
40 %
14 %
0
10
20
30
40
Ø 3,5*
©FraunhoferIAO
%
n = 137
© Fraunhofer IAO
17
Als wie risikoreich stufen Sie Cloud-
Angebote nach heutigem Stand in
Bezug auf folgende Grundwerte der
IT-Sicherheit ein?
Integrität
Verfügbarkeit
> Vertraulichkeit
* 1 entspricht »sehr unsicher«,
5 entspricht »sehr sicher«
Der IT-Grundwert Vertraulichkeit bezeichnet den Schutz vor unbefugter Preisgabe von Informationen (Quelle: Glossar
des Bundesamts für Sicherheit in der Informationstechnik BSI). Der Zugriff auf Daten und Prozesse wird in der Cloud
durch Berechtigungen eingeschränkt, und während des Betriebs überwacht und durchgesetzt. Die Antworten auf diese
Frage sind sehr pessimistisch: über die Hälfte der Befragten (53 Prozent) hält aktuelle Cloud-Lösungen für unsicher bis
sehr unsicher. Hier sind weitere Sicherheitslösungen und Aufklärungsarbeit gefragt, um die technische Sicherheit und
das Vertrauen darin zu bestärken.
n = 136
24 %
29 %
20 %
16 %
11 %
sehr
unsicher
unsicher mittel sicher sehr
sicher
0
10
20
30
40
Ø 2,6*
©FraunhoferIAO
%
© Fraunhofer IAO
18
Als wie risikoreich stufen Sie Cloud-
Angebote nach heutigem Stand in
Bezug auf folgende Grundwerte der
IT-Sicherheit ein?*
Integrität
Verfügbarkeit
Vertraulichkeit
Vertraulichkeit
* Mittelwerte
1
sehr unsicher
2 3 4 5
sehr sicher
Ø (n) = 136
Verfügbarkeit
Integrität
Ø 3,5
Ø 3,0
Ø 2,6
© Fraunhofer IAO
Der direkte Vergleich der Mittelwerte zeigt, wie viel unsicherer die Vertraulichkeit gegenüber den anderen
Grundwerten der IT-Sicherheit eingeschätzt wird.
© Fraunhofer IAO
19
n = 19
sehr
unsicher
unsicher mittel sicher
0
10
20
30
40
sehr
sicher
Ø 2,7*
©FraunhoferIAO
%
50
47 %
5 %
37 %
5 % 5 %
n = 17
sehr
unsicher
unsicher mittel sicher
0
10
20
30
40
sehr
sicher
Ø 3,4*
©FraunhoferIAO
50
6 % 6 %
47 %
29 %
12 %
%
Als wie risikoreich stufen Sie Cloud-
Angebote nach heutigem Stand in
Bezug auf folgende Grundwerte der
IT-Sicherheit ein?
> Integrität
Verfügbarkeit
Vertraulichkeit
Mein Unternehmen bzw. meine Organisation ist Anbieter von Cloud-
Angeboten.
Mein Unternehmen bzw. meine Organisation ist Nutzer von Cloud-
Angeboten.
Mein Interesse ist unabhängig von meinem Unternehmen bzw. meiner
Organisation.
Mein Unternehmen bzw. meine Organisation interessiert sich unabhängig
von aktuellem Angebot bzw. aktueller Nutzung für Cloud Computing.
Unterteilt man die Befragten anhand des bisherigen Kontaktes mit dem Thema Cloud Computing in die Gruppen
Anbieter, Nutzer, geschäftlich Interessierte und privat Interessierte, so ergeben sich Unterschiede in den Bewertungen
der IT-Grundwerte.
Das Risiko bei der Integrität wird von Anbietern und Nutzern geringer eingeschätzt als von Teilnehmern, welche die
Cloud noch nicht nutzen. Letztere vermuten unter Umständen fehlende Integritätsmaßnahmen, die in der Realität von
Anbietern aber schon zur Verfügung gestellt werden. Das Ergebnis deutet darauf hin, dass erst mit der Erfahrung
durch Nutzung oder Angebot von Cloud Computing Vertrauen in Bezug auf diesen Punkt entstehen kann.
n = 52
sehr
unsicher
unsicher mittel sicher
0
10
20
30
40
sehr
sicher
Ø 2,7*
©FraunhoferIAO
%
50
14 %
31 %
35 %
14 %
8 %
n = 36
Ø 3,6*
©FraunhoferIAO
sehr
unsicher
unsicher mittel sicher
0
10
20
30
40
sehr
sicher
50
6 %
3 %
36 %
39 %
17 %
%
© Fraunhofer IAO
20
Als wie risikoreich stufen Sie Cloud-
Angebote nach heutigem Stand in
Bezug auf folgende Grundwerte der
IT-Sicherheit ein?
Integrität
> Verfügbarkeit
Vertraulichkeit
Mein Unternehmen bzw. meine Organisation ist Anbieter von Cloud-
Angeboten.
Mein Unternehmen bzw. meine Organisation ist Nutzer von Cloud-
Angeboten.
Mein Interesse ist unabhängig von meinem Unternehmen bzw. meiner
Organisation.
Mein Unternehmen bzw. meine Organisation interessiert sich unabhängig
von aktuellem Angebot bzw. aktueller Nutzung für Cloud Computing.
In Bezug auf die Verfügbarkeit ist die Einschätzung der Anbieter und Anwender von Cloud Computing positiver als die
der Interessierten-Gruppen. Anbieter und Anwender halten die Verfügbarkeit als gesichert bis sehr gesichert, während
die geschäftlich Interessierten dies eher im Mittelmaß verorten und die Einschätzungen der privat Interessierten stark
fragmentiert sind.
n = 37
Ø 3,8*
sehr
unsicher
unsicher mittel sicher sehr
sicher
3 %
5 %
19 %
54 %
19 %
n = 17
sehr
unsicher
unsicher mittel sicher sehr
sicher
Ø 3,8*
0 %
6 %
35 % 35 %
24 %
sehr
unsicher
unsicher mittel sicher sehr
sicher
n = 19
Ø 3,1*
16 % 16 %
26 %
32 %
11 %
n = 52
sehr
unsicher
unsicher mittel sicher sehr
sicher
Ø 3,4*
4 %
10 %
40 %
35 %
12 %
0
10
20
30
40
%
50
0
10
20
30
40
50
%
0
10
20
30
40
50
%
0
10
20
30
40
%
50
©FraunhoferIAO
©FraunhoferIAO
©FraunhoferIAO
©FraunhoferIAO
© Fraunhofer IAO
21
Als wie risikoreich stufen Sie Cloud-
Angebote nach heutigem Stand in
Bezug auf folgende Grundwerte der
IT-Sicherheit ein?
Integrität
Verfügbarkeit
> Vertraulichkeit
Mein Unternehmen bzw. meine Organisation ist Anbieter von Cloud-
Angeboten.
Mein Unternehmen bzw. meine Organisation ist Nutzer von Cloud-
Angeboten.
Mein Interesse ist unabhängig von meinem Unternehmen bzw. meiner
Organisation.
Mein Unternehmen bzw. meine Organisation interessiert sich unabhängig
von aktuellem Angebot bzw. aktueller Nutzung für Cloud Computing.
Beim Thema Vertraulichkeit gibt es sehr deutliche Unterschiede bei den Einschätzungen. Anbieter und Anwender
bewerten die Cloud als mittelsicher bis sicher, auch wenn ein auffallend hoher Prozentsatz (20 bzw. 30 Prozent) die
Cloud für unsicher bis sehr unsicher im Hinblick auf Vertraulichkeit hält. Die Gruppen derjenigen, die bislang noch kein
Cloud Computing verwenden, bewerten die Vertraulichkeit in der Mehrheit als unsicher bis sehr unsicher. Hieran lässt
sich ein dringender Bedarf ablesen: zum einen nach verbesserten Sicherheitstechnologien und zum anderen nach einer
besseren Aufklärung über das, was die Cloud schon jetzt im Bereich Sicherheit leistet.
n = 36
Ø 3,3*
sehr
unsicher
unsicher mittel sicher sehr
sicher
8 %
14 %
28 %
36 %
14 %
n = 17
sehr
unsicher
unsicher mittel sicher sehr
sicher
Ø 3,4*
12 %
18 %
12 %
35 %
24 %
sehr
unsicher
unsicher mittel sicher sehr
sicher
n = 19
Ø 2,5*
21 %
47 %
11 %
5 %
16 %
n = 52
sehr
unsicher
unsicher mittel sicher sehr
sicher
Ø 2,1*
33 %
40 %
19 %
2 %
6 %
0
10
20
30
40
%
50
0
10
20
30
40
50
%
0
10
20
30
40
50
%
0
10
20
30
40
%
50
©FraunhoferIAO
©FraunhoferIAO
©FraunhoferIAO
©FraunhoferIAO
22
© Fraunhofer IAO
»SICHERE CLOUD«
 Untersuchungsdesign
 Ergebnisse der Studie
 Aktuell wahrgenommene Cloud Security
 Sicherheitsbedarf bei Anwendern
 Ansprechpartner
© Fraunhofer IAO
23
Wie schätzen Sie den Sicherheitsbedarf
in ihrem Unternehmen in den
folgenden Punkten ein?
> Authentisierung*
Datensicherheit / Datenschutz
Datenverfügbarkeit
Externe Kommunikation
Patch-Level
Daten-Integrität
sehr
niedrig
niedrig mittel hoch sehr
hoch
3 %
5 %
9 %
24 %
59 %
©FraunhoferIAO
n = 135
Ø 4,3**
* u.a. Phishing, Pharming, Cross-Site Scripting etc.
** 1 entspricht »sehr niedrig«,
5 entspricht »sehr hoch«
In den folgenden Fragen wurden die Befragten gebeten einzuschätzen, wie hoch der Sicherheitsbedarf für die
aufgezählten IT-Bereiche im täglichen Arbeitsalltag ist. Der Sicherheitsbedarf bei der Authentisierung schließt den
Schutz vor Passwort-Diebstahl, Phishing-Attacken, Cross-Site-Scripting u.ä. ein. Die Befragten gaben für diesen Bereich
einen hohen bis sehr hohen Sicherheitsbedarf an. Identitätsdiebstahl ist eine große Sorge im Umgang mit Cloud
Computing.
0
10
20
30
40
%
50
60
© Fraunhofer IAO
24
Wie schätzen Sie den Sicherheitsbedarf
in ihrem Unternehmen in den
folgenden Punkten ein?
Authentisierung
> Datensicherheit / Datenschutz*
Datenverfügbarkeit
Externe Kommunikation
Patch-Level
Daten-Integrität
n = 139
4 %
2 %
4 %
19 %
71 %
Ø 4,5**
sehr
niedrig
niedrig mittel hoch sehr
hoch
©FraunhoferIAO
* Wert der Daten, Datenschutzrichtlinien etc.
** 1 entspricht »sehr niedrig«,
5 entspricht »sehr hoch«
Der Sicherheitsbedarf bei der Datensicherheit bzw. beim Datenschutz betrifft den Zugriff auf die in der Cloud
gespeicherten Daten: Niemand soll auf die Daten zugreifen können, dem es nicht erlaubt ist. Eine große Mehrheit der
Befragten (71 Prozent) betrachtet die eigenen Daten als sehr schützenswert und legt deswegen einen sehr hohen Wert
auf die Datensicherheit.
0
10
20
30
40
%
50
60
© Fraunhofer IAO
25
Wie schätzen Sie den Sicherheitsbedarf
in ihrem Unternehmen in den
folgenden Punkten ein?
Authentisierung
Datensicherheit / Datenschutz
> Datenverfügbarkeit*
Externe Kommunikation
Patch-Level
Daten-Integrität
4 %
2 %
32 %
60 %
sehr
niedrig
niedrig mittel hoch sehr
hoch
©FraunhoferIAO
n = 139
Ø 4,5**
* Failover, Backups, Netzwerkverfügbarkeit etc.
** 1 entspricht »sehr niedrig«,
5 entspricht »sehr hoch«
Der Sicherheitsbedarf bei der Datenverfügbarkeit betrifft die Gewährleistung durchgängiger Funktionalität des
Dienstes in der Cloud. Cloud-Anbieter verwenden Mechanismen wie Failover-Systeme, Backups und redundante
Netzwerkstrukturen, um eine vollständige Verfügbarkeit ihrer Systeme garantieren zu können. Für eine absolute
Mehrheit der Befragten (92 Prozent) hat die Verfügbarkeit einen hohen bis sehr hohen Stellenwert. Cloud-Lösungen
müssen zu jedem Zeitpunkt Zugriff auf Daten und Prozesse bereitstellen.
0
10
20
30
40
%
50
60
1 %
© Fraunhofer IAO
26
Wie schätzen Sie den Sicherheitsbedarf
in ihrem Unternehmen in den
folgenden Punkten ein?
Authentisierung
Datensicherheit / Datenschutz
Datenverfügbarkeit
> Externe Kommunikation*
Patch-Level
Daten-Integrität
4 %
9 %
29 %
56 %
sehr
niedrig
niedrig mittel hoch sehr
hoch
©FraunhoferIAO
n = 137
Ø 4,3**
* VPN, Verschlüsselung etc.
** 1 entspricht »sehr niedrig«,
5 entspricht »sehr hoch«
Der Sicherheitsbedarf bei der externen Kommunikation betrifft den Austausch mit externen Partnern und eigenen
Kollegen über ein Netzwerk. Informationen, die über diesen Kanal laufen, sind unter Umständen geheim und sind
über Mechanismen wie Nachrichtenverschlüsselung oder Trennung eines Netzwerkes über VPN abzusichern. Auch hier
gibt eine große Mehrheit der Befragten (85 Prozent) einen hohen bis sehr hohen Sicherheitsbedarf an. Absprachen, die
über digitale Kommunikationswege getroffen werden, sind wichtig und müssen entsprechend gesichert werden.
0
10
20
30
40
%
50
60
1 %
© Fraunhofer IAO
27
Wie schätzen Sie den Sicherheitsbedarf
in ihrem Unternehmen in den
folgenden Punkten ein?
Authentisierung
Datensicherheit / Datenschutz
Datenverfügbarkeit
Externe Kommunikation
> Patch-Level*
Daten-Integrität
7 %
21 %
41 %
30 %
sehr
niedrig
niedrig mittel hoch sehr
hoch
©FraunhoferIAO
n = 137
Ø 3,9**
* z.B. die durchschnittliche Zeit bis zum Einspielen
neuer Sicherheitspatches
** 1 entspricht »sehr niedrig«,
5 entspricht »sehr hoch«
Der Sicherheitsbedarf beim Patch-Level betrifft die Aktualisierung von Softwareprodukten. Dies ist nötig, da neue
Versionen oftmals Sicherheitslücken beheben oder neue Funktionalitäten enthalten. Es ist nicht nur das Betriebssystem
betroffen, sondern jegliche installierte Software. Die Befragten unterstützen die Wichtigkeit dieses Punktes und geben
einen hohen Bedarf an. Die Dringlichkeit ist jedoch nicht so stark wie bei den vorangegangenen Punkten Datenschutz,
Verfügbarkeit oder externe Kommunikation.
0
10
20
30
40
%
50
60
1 %
© Fraunhofer IAO
28
Wie schätzen Sie den Sicherheitsbedarf
in ihrem Unternehmen in den
folgenden Punkten ein?
Authentisierung
Datensicherheit / Datenschutz
Datenverfügbarkeit
Externe Kommunikation
Patch-Level
> Daten-Integrität*
3 % 3 %
7 %
25 %
62 %
sehr
niedrig
niedrig mittel hoch sehr
hoch
©FraunhoferIAO
n = 138
Ø 4,4**
* z.B. Manipulierbarkeit von Daten – sowohl im Haus
als auch bei der externen Kommunikation
** 1 entspricht »sehr niedrig«,
5 entspricht »sehr hoch«
Der Sicherheitsbedarf bei der Daten-Integrität betrifft hauptsächlich die nicht nachvollziehbare Veränderung von
Daten, sei es auf dem Übertragungsweg oder bei der Speicherung. Die Befragten geben in der großen Mehrheit (87
Prozent) einen hohen bis sehr hohen Sicherheitsbedarf an. Daten-Integrität ist vor allem wichtig für Vertragsdaten,
deren Inhalt nach Abschluss nicht mehr verändert werden darf.
0
10
20
30
40
%
50
60
© Fraunhofer IAO
29
Wie schätzen Sie den Sicherheitsbedarf
in ihrem Unternehmen in den
folgenden Punkten ein?*
Authentisierung
Datensicherheit / Datenschutz
Datenverfügbarkeit
Externe Kommunikation
Patch-Level
Daten-Integrität
* Mittelwerte
1
sehr niedrig
2 3 4 5
sehr hoch
Ø (n) = 137
Externe Kommunikation
Authentisierung
Patch-Level
Daten-Integrität
Datenverfügbarkeit
Datensicherheit /
Datenschutz
Ø 4,3
Ø 4,3
Ø 4,4
Ø 3,9
Ø 4,5
Ø 4,5
© Fraunhofer IAO
Der direkte Vergleich der Mittelwerte ordnet die Sicherheitsbedarfe nach ihrer Wichtigkeit an.
© Fraunhofer IAO
30
* Mehrfachantworten möglich
Welche Themen sind in Bezug auf
»Cloud Security« für Sie besonders
wichtig?* (I)
Sicherheitsarchitektur
Verschlüsselungsmechanismen
0 10 20 30 40 50 60 70 80 %
n = 141
Trennung von Kundendaten
Rechtliche Risiken
Informationssicherheit
Angriffe, Bedrohungen
(z.B. Spoofing, Tampering)
Kontrollverlust über Unternehmensdaten
Authentisierung
40 %
40 %
47 %
40 %
57 %
53 %
49 %
57 %
77 %
62 %
Absicherungsmöglichkeiten
(z.B. Service bzw. Security Level Agreements)
Datenschutz
Top 10
© Fraunhofer IAO
Die Antworten auf die Frage nach den wichtigsten Themen erlauben Aussagen darüber, welche Sicherheitseigenschaften
in Cloud-Computing-Lösungen als erstes angegangen werden müssen. An erster Stelle steht der Datenschutz, was sich
auch in den vorangegangenen Ergebnissen widerspiegelt. An zweiter Stelle stehen die Absicherungsmöglichkeiten, die im
Schadensfall klären, wie der Anbieter reagieren muss. An vierter Stelle steht die Sorge, dass durch Cloud Computing ein
Kontrollverlust über Unternehmensdaten entsteht, da diese nicht mehr im eigenen Unternehmen gespeichert sind.
Zusammen mit den rechtlichen Risiken, die auf Platz sieben genannt sind, lässt sich schließen, dass vielen Unternehmen
noch nicht klar ist, was sie extern speichern dürfen, können oder sollten bzw. besser nicht sollten.
© Fraunhofer IAO
31
* Mehrfachantworten möglich
Welche Themen sind in Bezug auf
»Cloud Security« für Sie besonders
wichtig?* (II)
Trennung von Prozessen
Monitoring
0 10 20 30 40 50 60 70 80 %
n = 141
Sonstiges
Zertifizierung
IT-Governance
Risikomanagement
Wirtschaftlichkeit von Cloud-Sicherheit
22 %
19 %
24 %
28 %
26 %
38 %
Compliance-Risiken 38 %
5 %
© Fraunhofer IAO
Zu den sonstigen Themen, die als Freitext angegeben wurden, gehören Datenverfügbarkeit, Verantwortlichkeit
(Kunde versus Cloud-Betreiber), notwendige Änderungen an den IT-Anwendungen, um sie Cloud-fähig zu machen,
Privacy, Wiederherstellungszeit für Daten nach einem Crash und die generelle Aussage: »In Bezug auf Sicherheit sind
alle diese Themen wichtig«.
32
© Fraunhofer IAO
»SICHERE CLOUD«
 Untersuchungsdesign
 Ergebnisse der Studie
 Ansprechpartner
© Fraunhofer IAO
33
Erik Hebisch
Fraunhofer-Institut für
Arbeitswirtschaft
und Organisation IAO
Nobelstraße 12
70569 Stuttgart
Telefon +49 711 970-2408
Telefax +49 711 970-2192
erik.hebisch@iao.fraunhofer.de
Sabrina Lamberth
Fraunhofer-Institut für
Arbeitswirtschaft
und Organisation IAO
Nobelstraße 12
70569 Stuttgart
Telefon +49 711 970-5137
Telefax +49 711 970-2192
sabrina.lamberth@iao.fraunhofer.de
Ansprechpartner
www.swm.iao.fraunhofer.de
www.cloud.fraunhofer.de
www.dienstleistung.iao.fraunhofer.de

Weitere ähnliche Inhalte

Andere mochten auch

Referenzmodelle für das Informationsmanagement in der Smart Factory
Referenzmodelle für das Informationsmanagement in der Smart FactoryReferenzmodelle für das Informationsmanagement in der Smart Factory
Referenzmodelle für das Informationsmanagement in der Smart Factory
Fabian Keller
 
'Industrie 4.0' Security
'Industrie 4.0' Security 'Industrie 4.0' Security
'Industrie 4.0' Security
Erwin Hoffmann
 
Internet of things - 4/4. Providing Security
Internet of things - 4/4. Providing SecurityInternet of things - 4/4. Providing Security
Internet of things - 4/4. Providing Security
Sumanth Bhat
 
Internet of things - 2/4. The Challenges Ahead
Internet of things - 2/4. The Challenges AheadInternet of things - 2/4. The Challenges Ahead
Internet of things - 2/4. The Challenges Ahead
Sumanth Bhat
 
Smart Data Management
Smart Data ManagementSmart Data Management
Smart Data Management
JanAppl
 
Industrie 4.0 – die Rolle von Cluster-Initiativen im Wandel der Wertschöpfung...
Industrie 4.0 – die Rolle von Cluster-Initiativen im Wandel der Wertschöpfung...Industrie 4.0 – die Rolle von Cluster-Initiativen im Wandel der Wertschöpfung...
Industrie 4.0 – die Rolle von Cluster-Initiativen im Wandel der Wertschöpfung...
Gerd Meier zu Koecker
 
SDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data ProjekteSDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data Projekte
Smart Data Innovation Lab
 
Von Big Data zu Smart Data
Von Big Data zu Smart DataVon Big Data zu Smart Data
Von Big Data zu Smart Data
Andreas Blumauer
 
Industrie 4.0 und die Auswirkungen auf die Instandhaltung (Vortrag auf den In...
Industrie 4.0 und die Auswirkungen auf die Instandhaltung (Vortrag auf den In...Industrie 4.0 und die Auswirkungen auf die Instandhaltung (Vortrag auf den In...
Industrie 4.0 und die Auswirkungen auf die Instandhaltung (Vortrag auf den In...
Georg Guentner
 
Security Issues of Cloud Computing
Security Issues of Cloud ComputingSecurity Issues of Cloud Computing
Security Issues of Cloud Computing
Falgun Rathod
 
Cloud Security - Security Aspects of Cloud Computing
Cloud Security - Security Aspects of Cloud ComputingCloud Security - Security Aspects of Cloud Computing
Cloud Security - Security Aspects of Cloud Computing
Jim Geovedi
 
Cloud security ppt
Cloud security pptCloud security ppt
Cloud security ppt
Venkatesh Chary
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Hans Peter Knaust
 
Big Data/Industrie 4.0
Big Data/Industrie 4.0Big Data/Industrie 4.0
Big Data/Industrie 4.0
BastianK
 

Andere mochten auch (14)

Referenzmodelle für das Informationsmanagement in der Smart Factory
Referenzmodelle für das Informationsmanagement in der Smart FactoryReferenzmodelle für das Informationsmanagement in der Smart Factory
Referenzmodelle für das Informationsmanagement in der Smart Factory
 
'Industrie 4.0' Security
'Industrie 4.0' Security 'Industrie 4.0' Security
'Industrie 4.0' Security
 
Internet of things - 4/4. Providing Security
Internet of things - 4/4. Providing SecurityInternet of things - 4/4. Providing Security
Internet of things - 4/4. Providing Security
 
Internet of things - 2/4. The Challenges Ahead
Internet of things - 2/4. The Challenges AheadInternet of things - 2/4. The Challenges Ahead
Internet of things - 2/4. The Challenges Ahead
 
Smart Data Management
Smart Data ManagementSmart Data Management
Smart Data Management
 
Industrie 4.0 – die Rolle von Cluster-Initiativen im Wandel der Wertschöpfung...
Industrie 4.0 – die Rolle von Cluster-Initiativen im Wandel der Wertschöpfung...Industrie 4.0 – die Rolle von Cluster-Initiativen im Wandel der Wertschöpfung...
Industrie 4.0 – die Rolle von Cluster-Initiativen im Wandel der Wertschöpfung...
 
SDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data ProjekteSDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data Projekte
 
Von Big Data zu Smart Data
Von Big Data zu Smart DataVon Big Data zu Smart Data
Von Big Data zu Smart Data
 
Industrie 4.0 und die Auswirkungen auf die Instandhaltung (Vortrag auf den In...
Industrie 4.0 und die Auswirkungen auf die Instandhaltung (Vortrag auf den In...Industrie 4.0 und die Auswirkungen auf die Instandhaltung (Vortrag auf den In...
Industrie 4.0 und die Auswirkungen auf die Instandhaltung (Vortrag auf den In...
 
Security Issues of Cloud Computing
Security Issues of Cloud ComputingSecurity Issues of Cloud Computing
Security Issues of Cloud Computing
 
Cloud Security - Security Aspects of Cloud Computing
Cloud Security - Security Aspects of Cloud ComputingCloud Security - Security Aspects of Cloud Computing
Cloud Security - Security Aspects of Cloud Computing
 
Cloud security ppt
Cloud security pptCloud security ppt
Cloud security ppt
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
 
Big Data/Industrie 4.0
Big Data/Industrie 4.0Big Data/Industrie 4.0
Big Data/Industrie 4.0
 

Ähnlich wie Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer IAO, 2011)

Arbeitsplätze in der Cloud stecken beim Mittelstand noch in den Kinderschuhen
Arbeitsplätze in der Cloud stecken beim Mittelstand noch in den KinderschuhenArbeitsplätze in der Cloud stecken beim Mittelstand noch in den Kinderschuhen
Arbeitsplätze in der Cloud stecken beim Mittelstand noch in den Kinderschuhen
Matrix42PR
 
IfCC Institut für Cloud Computing
IfCC Institut für Cloud ComputingIfCC Institut für Cloud Computing
IfCC Institut für Cloud Computing
Connected-Blog
 
Peter Hanke (Netapp Austria)
Peter Hanke (Netapp Austria)Peter Hanke (Netapp Austria)
Peter Hanke (Netapp Austria)
Agenda Europe 2035
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
ihrepartner.ch gmbh
 
Enterprise-IT in the multi and hybrid cloud area (Steve Janata, COO Crisp-Res...
Enterprise-IT in the multi and hybrid cloud area (Steve Janata, COO Crisp-Res...Enterprise-IT in the multi and hybrid cloud area (Steve Janata, COO Crisp-Res...
Enterprise-IT in the multi and hybrid cloud area (Steve Janata, COO Crisp-Res...
Univention GmbH
 
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
AWS Germany
 
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
topsoft - inspiring digital business
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
AWS Germany
 
„Compliance as a Service“ auf der AWS Enterprise Summit 2016
 „Compliance as a Service“ auf der AWS Enterprise Summit 2016 „Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016
direkt gruppe GmbH
 
NoSpamProxy bietet Competitive Upgrade für Symantec
NoSpamProxy bietet Competitive Upgrade für SymantecNoSpamProxy bietet Competitive Upgrade für Symantec
NoSpamProxy bietet Competitive Upgrade für Symantec
bhoeck
 
Der Mittelstand liebt die Cloud. Aber nicht jeden Cloud-Anbieter.
Der Mittelstand liebt die Cloud. Aber nicht jeden Cloud-Anbieter.Der Mittelstand liebt die Cloud. Aber nicht jeden Cloud-Anbieter.
Der Mittelstand liebt die Cloud. Aber nicht jeden Cloud-Anbieter.
Projekt Design Karl-Heinz von Lackum
 
Digitalisierung: Datenzentrierte Geschäftsinnovation
Digitalisierung: Datenzentrierte GeschäftsinnovationDigitalisierung: Datenzentrierte Geschäftsinnovation
Digitalisierung: Datenzentrierte Geschäftsinnovation
Boris Otto
 
Channel-Aktion: Bis Jahresende Einstieg in die NoSpamProxy Cloud zum halben P...
Channel-Aktion: Bis Jahresende Einstieg in die NoSpamProxy Cloud zum halben P...Channel-Aktion: Bis Jahresende Einstieg in die NoSpamProxy Cloud zum halben P...
Channel-Aktion: Bis Jahresende Einstieg in die NoSpamProxy Cloud zum halben P...
bhoeck
 
Cloud Konzepte und Strategien
Cloud Konzepte und StrategienCloud Konzepte und Strategien
Cloud Konzepte und Strategien
ARS Computer und Consulting GmbH
 
Die Microsoft Cloud Deutschland: Beschaffungsoptionen
Die Microsoft Cloud Deutschland: Beschaffungsoptionen Die Microsoft Cloud Deutschland: Beschaffungsoptionen
Die Microsoft Cloud Deutschland: Beschaffungsoptionen
Axel Oppermann
 
Studie cloud security 2016
Studie cloud security 2016Studie cloud security 2016
Studie cloud security 2016
Andreas Pelka
 
Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
Carsten Muetzlitz
 
Die Zukunft liegt in der Cloud
Die Zukunft liegt in der CloudDie Zukunft liegt in der Cloud
Die Zukunft liegt in der Cloud
eBusiness-Lotse Potsdam
 
Industrial Data Space: Referenzarchitektur für Data Supply Chains
Industrial Data Space: Referenzarchitektur für Data Supply ChainsIndustrial Data Space: Referenzarchitektur für Data Supply Chains
Industrial Data Space: Referenzarchitektur für Data Supply Chains
Boris Otto
 
Sicherste Cloud Anbieter - IBM
Sicherste Cloud Anbieter - IBM Sicherste Cloud Anbieter - IBM
Sicherste Cloud Anbieter - IBM
Sumaya Erol
 

Ähnlich wie Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer IAO, 2011) (20)

Arbeitsplätze in der Cloud stecken beim Mittelstand noch in den Kinderschuhen
Arbeitsplätze in der Cloud stecken beim Mittelstand noch in den KinderschuhenArbeitsplätze in der Cloud stecken beim Mittelstand noch in den Kinderschuhen
Arbeitsplätze in der Cloud stecken beim Mittelstand noch in den Kinderschuhen
 
IfCC Institut für Cloud Computing
IfCC Institut für Cloud ComputingIfCC Institut für Cloud Computing
IfCC Institut für Cloud Computing
 
Peter Hanke (Netapp Austria)
Peter Hanke (Netapp Austria)Peter Hanke (Netapp Austria)
Peter Hanke (Netapp Austria)
 
Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521Impulsseminar cloud computing - ufz.ch 20120521
Impulsseminar cloud computing - ufz.ch 20120521
 
Enterprise-IT in the multi and hybrid cloud area (Steve Janata, COO Crisp-Res...
Enterprise-IT in the multi and hybrid cloud area (Steve Janata, COO Crisp-Res...Enterprise-IT in the multi and hybrid cloud area (Steve Janata, COO Crisp-Res...
Enterprise-IT in the multi and hybrid cloud area (Steve Janata, COO Crisp-Res...
 
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
 
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
 
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...Public Cloud? Aber sicher!  Orchestrierung komplexer Cloud-Lösungen - Partner...
Public Cloud? Aber sicher! Orchestrierung komplexer Cloud-Lösungen - Partner...
 
„Compliance as a Service“ auf der AWS Enterprise Summit 2016
 „Compliance as a Service“ auf der AWS Enterprise Summit 2016 „Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016
 
NoSpamProxy bietet Competitive Upgrade für Symantec
NoSpamProxy bietet Competitive Upgrade für SymantecNoSpamProxy bietet Competitive Upgrade für Symantec
NoSpamProxy bietet Competitive Upgrade für Symantec
 
Der Mittelstand liebt die Cloud. Aber nicht jeden Cloud-Anbieter.
Der Mittelstand liebt die Cloud. Aber nicht jeden Cloud-Anbieter.Der Mittelstand liebt die Cloud. Aber nicht jeden Cloud-Anbieter.
Der Mittelstand liebt die Cloud. Aber nicht jeden Cloud-Anbieter.
 
Digitalisierung: Datenzentrierte Geschäftsinnovation
Digitalisierung: Datenzentrierte GeschäftsinnovationDigitalisierung: Datenzentrierte Geschäftsinnovation
Digitalisierung: Datenzentrierte Geschäftsinnovation
 
Channel-Aktion: Bis Jahresende Einstieg in die NoSpamProxy Cloud zum halben P...
Channel-Aktion: Bis Jahresende Einstieg in die NoSpamProxy Cloud zum halben P...Channel-Aktion: Bis Jahresende Einstieg in die NoSpamProxy Cloud zum halben P...
Channel-Aktion: Bis Jahresende Einstieg in die NoSpamProxy Cloud zum halben P...
 
Cloud Konzepte und Strategien
Cloud Konzepte und StrategienCloud Konzepte und Strategien
Cloud Konzepte und Strategien
 
Die Microsoft Cloud Deutschland: Beschaffungsoptionen
Die Microsoft Cloud Deutschland: Beschaffungsoptionen Die Microsoft Cloud Deutschland: Beschaffungsoptionen
Die Microsoft Cloud Deutschland: Beschaffungsoptionen
 
Studie cloud security 2016
Studie cloud security 2016Studie cloud security 2016
Studie cloud security 2016
 
Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
 
Die Zukunft liegt in der Cloud
Die Zukunft liegt in der CloudDie Zukunft liegt in der Cloud
Die Zukunft liegt in der Cloud
 
Industrial Data Space: Referenzarchitektur für Data Supply Chains
Industrial Data Space: Referenzarchitektur für Data Supply ChainsIndustrial Data Space: Referenzarchitektur für Data Supply Chains
Industrial Data Space: Referenzarchitektur für Data Supply Chains
 
Sicherste Cloud Anbieter - IBM
Sicherste Cloud Anbieter - IBM Sicherste Cloud Anbieter - IBM
Sicherste Cloud Anbieter - IBM
 

Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer IAO, 2011)

  • 1. © Fraunhofer IAO »SICHERE CLOUD« Sicherheit in Cloud-Computing-Systemen Umfrage des Fraunhofer IAO, 2011
  • 2. © Fraunhofer IAO 2 Cloud Computing gilt als eine der wichtigsten Innovationen in der (IKT-) Wirtschaft der vergangenen Jahre. Die Idee ist, dass Speicherplatz, Rechenleistung und konkrete Software-Anwendungen nicht mehr beim Anwender selbst vorgehalten, sondern extern als Dienstleistung eingekauft werden. Vielversprechend sind die Möglichkeiten, die sich durch das Outsourcing von Rechen-, Speicher- und IT- Dienstleistungen für Unternehmen ergeben. Bevor Unternehmen jedoch in die Wolke ziehen, müssen grundlegende Fragestellungen geklärt werden; speziell die Frage nach der Sicherheit ist vorrangig. Aus diesem Grund erforscht das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Zusammenarbeit mit der BITKOM, inwiefern Cloud-Anbieter auf die Sicherheitsanforderungen potenzieller Kunden vorbereitet sind. In diesem Zusammenhang wurden ein Stimmungsbild und konkrete Unternehmensanforderungen erhoben. Cloud Computing und Sicherheit
  • 3. 3 © Fraunhofer IAO Fraunhofer-Gesellschaft im Profil  Gründungsjahr: 1949  18 000 Mitarbeiter  Mehr als 80 Forschungseinrichtungen, davon 60 Institute als selbständige Profit-Center  Fraunhofer International Europa: Brüssel (Belgien), Moskau (Russland), Budapest (Ungarn), Jönköping (Schweden), Bozen (Italien) u.a. USA: Boston (Massachusetts), Pittsburgh (Pennsylvania), Plymouth (Michigan), Providence (Rhode Island), College Park (Maryland), Peoria (Illinois) Asien: Ampang (Malaysia), Beijing (China), Jakarta (Indonesien), Koramangala Bangalore (Indien), Seoul (Korea), Singapur, Tokio (Japan) Naher Osten: Dubai (VAE), Kairo (Ägypten)
  • 4. 4 © Fraunhofer IAO Fraunhofer IAO im Profil www.iao.fraunhofer.de  Gründungsjahr: 1981  Institutsleiter: Prof. Dr.-Ing. Dr.-Ing. E.h. Dieter Spath  Finanzvolumen: 31,5 Mio. €, davon 33% im Auftrag der Wirtschaft  Mitarbeiter: 480 Mitarbeiter* *Daten 2010, inklusive IAT der Universität Stuttgart
  • 5. © Fraunhofer IAO 5 Cloud-Forschung am Fraunhofer IAO: Die Fraunhofer-Allianz Cloud Computing Die Fraunhofer-Allianz Cloud Computing ist ein Verbund von derzeit acht Fraunhofer-Instituten, die sich in Forschung und Industrieprojekten mit unterschiedlichen Themenstellungen im Bereich des Cloud Computing – und zuvor bereits mit thematisch verwandten Bereichen wie Grid Computing, Utility Computing und Serviceorientierte Architekturen – befassen. Im Rahmen der Fraunhofer-Allianz Cloud Computing bündeln die beteiligten Institute ihre Kompetenzen, um Kunden und Forschungspartnern gegenüber eine zentrale Anlaufstelle in Fragen der Vernetzung und optimierten Nutzung verteilter IT-Ressourcen anzubieten. Die Fraunhofer-Allianz Cloud Computing bietet ein breites Leistungsspektrum an, welches das koordinierte Know-how der beteiligten Institute umfasst und für den Kunden als eine Einheit mit einem zentralen Ansprechpartner angeboten werden kann. Die Kompetenzen der acht Fraunhofer-Institute liegen in den folgenden Bereichen:  Betriebs- und Geschäftsmodelle  Prozessmanagement  Ressourcenplanung  Anwendungsentwicklung  Life Cycle Management für Cloud Services und Cloud- Umgebungen www.cloud.fraunhofer.de
  • 6. © Fraunhofer IAO 6 Sicherheitsbezogene Cloud-Forschung am Fraunhofer IAO: BMWi-geförderte Projekte im Rahmen von Trusted Cloud Die Fraunhofer-Gesellschaft ist im Rahmen von Trusted Cloud in acht von vierzehn durch das Bundesministerium für Wirtschaft und Technologie geförderten Projekten beteiligt:  Cloud4E  CloudCycle  goBerlin  HealthCloud Das Fraunhofer IAO ist an den Projekten CLOUDwerker und SkIDentity beteiligt. In dem Projekt CLOUDwerker entstehen entsprechend den Anforderungen von Handwerksbetrieben und unter Berücksichtigung vorhandener, Cloud-basierter Lösungen Dienstebündel mit dazugehörigen Geschäftsmodellen auf einer vertrauenswürdigen, offenen Service-Plattform, welche die Geschäftsprozesse in kleinen und mittelständischen Unternehmen sicher unterstützen. Im Projekt SkIDentity wird eine tragfähige Brücke zwischen den sicheren elektronischen Ausweisen (eID) und den heute existierenden bzw. sich entwickelnden Cloud-Computing-Infrastrukturen geschlagen. Somit können vertrauenswürdige Identitäten für die Cloud bereitgestellt und komplette Prozess- und Wertschöpfungsketten sicher gestaltet werden.  MIA  Sealed Cloud  SkIDentity  CLOUDwerker
  • 7. 7 © Fraunhofer IAO »SICHERE CLOUD«  Untersuchungsdesign  Ergebnisse der Studie  Ausblick  Ansprechpartner
  • 8. © Fraunhofer IAO 8 Untersuchung zu Sicherheit in Cloud-Computing-Systemen Zielgruppe Untersuchungs- bereiche Untersuchungs- umfang Untersuchungs- zeitraum IT-Entscheider und IT-Professionals in Deutschland 142 Personen (bei 3.000 angeschriebenen Personen) Juni und Juli 2011 Untersuchungssteckbrief Aktuelle Einschätzung der Sicherheit von Cloud-Angeboten Kriterien für eine »Sichere Cloud« Sicherheitsanforderungen von Anwendern
  • 9. © Fraunhofer IAO 9 Hinweise Die vorliegende Foliendokumentation liefert eine Gesamtauswertung der Daten. Die angegebenen Prozentwerte beziehen sich immer auf die gültigen Antworten. Auf- und Abrundungen können dazu führen, dass die Summenwerte leicht von 100 Prozent abweichen. In die Aufbereitung und Dokumentation der Untersuchungsergebnisse flossen nur solche Erkenntnisse ein, die unter statistischen Gesichtspunkten über eine genügend hohe Aussagekraft verfügten.
  • 10. © Fraunhofer IAO 10 Verteilung nach Branche Die Branchenverteilung zeigt mit einem Drittel Rückläuferanteil einen Schwerpunkt in der IT-Branche. Mit 14 Prozent Anteil sind IT-Entscheider aus Bildung und Forschung am zweithäufigsten vertreten. Jeweils acht Prozent der Teilnehmer sind im Bereich von Consulting oder Finanz- und Versicherungsdienstleistungen aktiv. Ein relativ kleiner, jedoch auswertbarer Anteil, ist dem Maschinen- und Anlagenbau oder der öffentlichen Verwaltung zuzurechnen (je sechs Prozent). Unter sonstige Branchen (25 Prozent) fielen einzelne Vertreter aus der Automobil-, Luft- und Raumfahrt sowie Konsumgüterindustrie, Handel und Gewerbe oder aus dienstleistungsintensiven Zweigen wie Transport und Logistik, Energie- und Wasserversorgung sowie Gesundheits- und Sozialwesen. n = 137 Bildung, Forschung Consulting Finanz-, Versicherungsdienstleistungen Öffentliche Verwaltung Sonstige Branchen Information und Kommunikation Maschinen- und Anlagenbau ©FraunhoferIAO
  • 11. 11 © Fraunhofer IAO »SICHERE CLOUD«  Untersuchungsdesign  Ergebnisse der Studie  Aktuell wahrgenommene Cloud Security  Sicherheitsbedarf bei Anwendern  Ansprechpartner
  • 12. © Fraunhofer IAO 12 In welchem Rahmen beschäftigen Sie sich mit Cloud Computing? Mein Unternehmen bzw. meine Organisation ist Anbieter von Cloud-Angeboten. Mein Unternehmen bzw. meine Organisation ist Nutzer von Cloud-Angeboten. Mein Unternehmen bzw. meine Organisation interessiert sich unabhängig von aktuellem Angebot bzw. aktueller Nutzung für Cloud Computing. Mein Interesse ist unabhängig von meinem Unternehmen bzw. meiner Organisation. Sonstiges ©FraunhoferIAO n = 139 Der Großteil der Teilnehmer interessiert sich unabhängig von der Cloud-Nutzung oder des Cloud-Angebots ihres Arbeitgebers für das Thema Cloud Computing. Ein ähnlich großer Anteil (39 Prozent) der Befragten gab an, dass ihr Arbeitgeber Cloud-Lösungen entweder nutzt oder anbietet. Diese Werte zeigen , dass sich Unternehmen aufteilen in die, die früh neue Technologien benutzen und bewerten und die, die warten und analysieren, wann es sich für sie lohnt, die neue Technologie zu benutzen. Die 14 Prozent der Teilnehmer, die aus einem Eigeninteresse teilnehmen, lassen sich als Privatpersonen interpretieren.
  • 13. © Fraunhofer IAO 13 Wo liegen Ihre Schwerpunkte im Zusammenhang mit Cloud Computing?* n = 53 Private Cloud Public Cloud 26 % 49 % 43 % 80 % 45 % 26 % Software-as-a-Service (SaaS) Platform-as-a-Service (PaaS) Hybrid Cloud Infrastructure-as-a-Service (IaaS) 0 10 20 30 40 50 60 70 80 % © Fraunhofer IAO * Mehrfachantworten möglich Diese Frage ist eine Anschlussfrage, die gestellt wurde, falls Teilnehmer in der vorherigen Frage angaben, bereits Cloud-Lösungen zu nutzen bzw. anzubieten. Ein eindeutiger Schwerpunkt liegt hier beim Thema Software-as-a- Service. 80 Prozent der Befragten nutzen bzw. bieten bereits Softwarelösungen aus der Cloud. Die Antworten auf die Frage, wo die jeweiligen Services installiert werden bzw. betrieben werden, sind relativ ausgeglichen zwischen dem Betrieb im eigenen Haus (Private Cloud) und extern (Public Cloud). Es kommt im Einzelfall auf die Daten und Prozesse an, wo diese gespeichert oder verarbeitet werden dürfen. Als weitere Betriebsmodelle wurden genannt: Remote Private Cloud, Provider Cloud und die Unterstützung aller Modelle seitens des Cloud-Betreibers.
  • 14. © Fraunhofer IAO 14 Welche Relevanz hat das Thema »Cloud Security« für Sie? Für die Mehrheit der Teilnehmer hat das Thema »Sicheres Cloud Computing« eine sehr hohe Relevanz. * 1 entspricht »keine Relevanz«, 5 entspricht »sehr hohe Relevanz« n = 141 keine Relevanz geringe Relevanz mittlere Relevanz hohe Relevanz 0 10 20 30 40 % sehr hohe Relevanz 6 % 8 % 14 % 50 18 % 55 % Ø 3,7* ©FraunhoferIAO
  • 15. © Fraunhofer IAO 15 Als wie risikoreich stufen Sie Cloud- Angebote nach heutigem Stand in Bezug auf folgende Grundwerte der IT-Sicherheit ein? > Integrität Verfügbarkeit Vertraulichkeit * 1 entspricht »sehr unsicher«, 5 entspricht »sehr sicher« Der IT-Grundwert Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen (Quelle: Glossar des Bundesamts für Sicherheit in der Informationstechnik BSI). Der Inhalt und die Metadaten von Dateien werden unverändert in der Cloud gespeichert und nicht durch den Vorgang verändert. Die Meinungen über diesen Grundwert sind normalverteilt, was sich als Unsicherheit gegenüber dem Thema interpretieren lässt. Daten-Integrität wurde unter Umständen bislang von den Teilnehmern nicht mit dem Thema IT- Sicherheit in Verbindung gebracht, weswegen das Risiko in diesem Zusammenhang nur schwer eingeschätzt werden kann. n = 136 sehr unsicher unsicher mittel sicher 0 10 20 30 40 % sehr sicher 10 % 23 % 38 % 21 % 10 % Ø 3,0* ©FraunhoferIAO
  • 16. © Fraunhofer IAO 16 Als wie risikoreich stufen Sie Cloud- Angebote nach heutigem Stand in Bezug auf folgende Grundwerte der IT-Sicherheit ein? Integrität > Verfügbarkeit Vertraulichkeit * 1 entspricht »sehr unsicher«, 5 entspricht »sehr sicher« Der IT-Grundwert Verfügbarkeit bezeichnet die Nutzbarkeit von Dienstleistungen, Funktionen eines IT-Systems, von IT- Anwendungen, IT-Netzen oder Informationen durch den Anwender wie vorhergesehen (Quelle: Glossar des Bundesamts für Sicherheit in der Informationstechnik BSI). Über die Hälfte der Befragten (54 Prozent) schätzen das Thema Verfügbarkeit als sicher bis sehr sicher ein. Sie gehen davon aus, dass die Betreiber von Cloud-Lösungen jederzeit in der Lage sind, den Zugriff auf Daten und Prozesse zu gewährleisten. Dieser Grundwert lässt sich im Übrigen auch gut in Service Level Agreements festlegen und während des Betriebs überwachen. sehr unsicher unsicher mittel sicher sehr sicher 4 % 11 % 31 % 40 % 14 % 0 10 20 30 40 Ø 3,5* ©FraunhoferIAO % n = 137
  • 17. © Fraunhofer IAO 17 Als wie risikoreich stufen Sie Cloud- Angebote nach heutigem Stand in Bezug auf folgende Grundwerte der IT-Sicherheit ein? Integrität Verfügbarkeit > Vertraulichkeit * 1 entspricht »sehr unsicher«, 5 entspricht »sehr sicher« Der IT-Grundwert Vertraulichkeit bezeichnet den Schutz vor unbefugter Preisgabe von Informationen (Quelle: Glossar des Bundesamts für Sicherheit in der Informationstechnik BSI). Der Zugriff auf Daten und Prozesse wird in der Cloud durch Berechtigungen eingeschränkt, und während des Betriebs überwacht und durchgesetzt. Die Antworten auf diese Frage sind sehr pessimistisch: über die Hälfte der Befragten (53 Prozent) hält aktuelle Cloud-Lösungen für unsicher bis sehr unsicher. Hier sind weitere Sicherheitslösungen und Aufklärungsarbeit gefragt, um die technische Sicherheit und das Vertrauen darin zu bestärken. n = 136 24 % 29 % 20 % 16 % 11 % sehr unsicher unsicher mittel sicher sehr sicher 0 10 20 30 40 Ø 2,6* ©FraunhoferIAO %
  • 18. © Fraunhofer IAO 18 Als wie risikoreich stufen Sie Cloud- Angebote nach heutigem Stand in Bezug auf folgende Grundwerte der IT-Sicherheit ein?* Integrität Verfügbarkeit Vertraulichkeit Vertraulichkeit * Mittelwerte 1 sehr unsicher 2 3 4 5 sehr sicher Ø (n) = 136 Verfügbarkeit Integrität Ø 3,5 Ø 3,0 Ø 2,6 © Fraunhofer IAO Der direkte Vergleich der Mittelwerte zeigt, wie viel unsicherer die Vertraulichkeit gegenüber den anderen Grundwerten der IT-Sicherheit eingeschätzt wird.
  • 19. © Fraunhofer IAO 19 n = 19 sehr unsicher unsicher mittel sicher 0 10 20 30 40 sehr sicher Ø 2,7* ©FraunhoferIAO % 50 47 % 5 % 37 % 5 % 5 % n = 17 sehr unsicher unsicher mittel sicher 0 10 20 30 40 sehr sicher Ø 3,4* ©FraunhoferIAO 50 6 % 6 % 47 % 29 % 12 % % Als wie risikoreich stufen Sie Cloud- Angebote nach heutigem Stand in Bezug auf folgende Grundwerte der IT-Sicherheit ein? > Integrität Verfügbarkeit Vertraulichkeit Mein Unternehmen bzw. meine Organisation ist Anbieter von Cloud- Angeboten. Mein Unternehmen bzw. meine Organisation ist Nutzer von Cloud- Angeboten. Mein Interesse ist unabhängig von meinem Unternehmen bzw. meiner Organisation. Mein Unternehmen bzw. meine Organisation interessiert sich unabhängig von aktuellem Angebot bzw. aktueller Nutzung für Cloud Computing. Unterteilt man die Befragten anhand des bisherigen Kontaktes mit dem Thema Cloud Computing in die Gruppen Anbieter, Nutzer, geschäftlich Interessierte und privat Interessierte, so ergeben sich Unterschiede in den Bewertungen der IT-Grundwerte. Das Risiko bei der Integrität wird von Anbietern und Nutzern geringer eingeschätzt als von Teilnehmern, welche die Cloud noch nicht nutzen. Letztere vermuten unter Umständen fehlende Integritätsmaßnahmen, die in der Realität von Anbietern aber schon zur Verfügung gestellt werden. Das Ergebnis deutet darauf hin, dass erst mit der Erfahrung durch Nutzung oder Angebot von Cloud Computing Vertrauen in Bezug auf diesen Punkt entstehen kann. n = 52 sehr unsicher unsicher mittel sicher 0 10 20 30 40 sehr sicher Ø 2,7* ©FraunhoferIAO % 50 14 % 31 % 35 % 14 % 8 % n = 36 Ø 3,6* ©FraunhoferIAO sehr unsicher unsicher mittel sicher 0 10 20 30 40 sehr sicher 50 6 % 3 % 36 % 39 % 17 % %
  • 20. © Fraunhofer IAO 20 Als wie risikoreich stufen Sie Cloud- Angebote nach heutigem Stand in Bezug auf folgende Grundwerte der IT-Sicherheit ein? Integrität > Verfügbarkeit Vertraulichkeit Mein Unternehmen bzw. meine Organisation ist Anbieter von Cloud- Angeboten. Mein Unternehmen bzw. meine Organisation ist Nutzer von Cloud- Angeboten. Mein Interesse ist unabhängig von meinem Unternehmen bzw. meiner Organisation. Mein Unternehmen bzw. meine Organisation interessiert sich unabhängig von aktuellem Angebot bzw. aktueller Nutzung für Cloud Computing. In Bezug auf die Verfügbarkeit ist die Einschätzung der Anbieter und Anwender von Cloud Computing positiver als die der Interessierten-Gruppen. Anbieter und Anwender halten die Verfügbarkeit als gesichert bis sehr gesichert, während die geschäftlich Interessierten dies eher im Mittelmaß verorten und die Einschätzungen der privat Interessierten stark fragmentiert sind. n = 37 Ø 3,8* sehr unsicher unsicher mittel sicher sehr sicher 3 % 5 % 19 % 54 % 19 % n = 17 sehr unsicher unsicher mittel sicher sehr sicher Ø 3,8* 0 % 6 % 35 % 35 % 24 % sehr unsicher unsicher mittel sicher sehr sicher n = 19 Ø 3,1* 16 % 16 % 26 % 32 % 11 % n = 52 sehr unsicher unsicher mittel sicher sehr sicher Ø 3,4* 4 % 10 % 40 % 35 % 12 % 0 10 20 30 40 % 50 0 10 20 30 40 50 % 0 10 20 30 40 50 % 0 10 20 30 40 % 50 ©FraunhoferIAO ©FraunhoferIAO ©FraunhoferIAO ©FraunhoferIAO
  • 21. © Fraunhofer IAO 21 Als wie risikoreich stufen Sie Cloud- Angebote nach heutigem Stand in Bezug auf folgende Grundwerte der IT-Sicherheit ein? Integrität Verfügbarkeit > Vertraulichkeit Mein Unternehmen bzw. meine Organisation ist Anbieter von Cloud- Angeboten. Mein Unternehmen bzw. meine Organisation ist Nutzer von Cloud- Angeboten. Mein Interesse ist unabhängig von meinem Unternehmen bzw. meiner Organisation. Mein Unternehmen bzw. meine Organisation interessiert sich unabhängig von aktuellem Angebot bzw. aktueller Nutzung für Cloud Computing. Beim Thema Vertraulichkeit gibt es sehr deutliche Unterschiede bei den Einschätzungen. Anbieter und Anwender bewerten die Cloud als mittelsicher bis sicher, auch wenn ein auffallend hoher Prozentsatz (20 bzw. 30 Prozent) die Cloud für unsicher bis sehr unsicher im Hinblick auf Vertraulichkeit hält. Die Gruppen derjenigen, die bislang noch kein Cloud Computing verwenden, bewerten die Vertraulichkeit in der Mehrheit als unsicher bis sehr unsicher. Hieran lässt sich ein dringender Bedarf ablesen: zum einen nach verbesserten Sicherheitstechnologien und zum anderen nach einer besseren Aufklärung über das, was die Cloud schon jetzt im Bereich Sicherheit leistet. n = 36 Ø 3,3* sehr unsicher unsicher mittel sicher sehr sicher 8 % 14 % 28 % 36 % 14 % n = 17 sehr unsicher unsicher mittel sicher sehr sicher Ø 3,4* 12 % 18 % 12 % 35 % 24 % sehr unsicher unsicher mittel sicher sehr sicher n = 19 Ø 2,5* 21 % 47 % 11 % 5 % 16 % n = 52 sehr unsicher unsicher mittel sicher sehr sicher Ø 2,1* 33 % 40 % 19 % 2 % 6 % 0 10 20 30 40 % 50 0 10 20 30 40 50 % 0 10 20 30 40 50 % 0 10 20 30 40 % 50 ©FraunhoferIAO ©FraunhoferIAO ©FraunhoferIAO ©FraunhoferIAO
  • 22. 22 © Fraunhofer IAO »SICHERE CLOUD«  Untersuchungsdesign  Ergebnisse der Studie  Aktuell wahrgenommene Cloud Security  Sicherheitsbedarf bei Anwendern  Ansprechpartner
  • 23. © Fraunhofer IAO 23 Wie schätzen Sie den Sicherheitsbedarf in ihrem Unternehmen in den folgenden Punkten ein? > Authentisierung* Datensicherheit / Datenschutz Datenverfügbarkeit Externe Kommunikation Patch-Level Daten-Integrität sehr niedrig niedrig mittel hoch sehr hoch 3 % 5 % 9 % 24 % 59 % ©FraunhoferIAO n = 135 Ø 4,3** * u.a. Phishing, Pharming, Cross-Site Scripting etc. ** 1 entspricht »sehr niedrig«, 5 entspricht »sehr hoch« In den folgenden Fragen wurden die Befragten gebeten einzuschätzen, wie hoch der Sicherheitsbedarf für die aufgezählten IT-Bereiche im täglichen Arbeitsalltag ist. Der Sicherheitsbedarf bei der Authentisierung schließt den Schutz vor Passwort-Diebstahl, Phishing-Attacken, Cross-Site-Scripting u.ä. ein. Die Befragten gaben für diesen Bereich einen hohen bis sehr hohen Sicherheitsbedarf an. Identitätsdiebstahl ist eine große Sorge im Umgang mit Cloud Computing. 0 10 20 30 40 % 50 60
  • 24. © Fraunhofer IAO 24 Wie schätzen Sie den Sicherheitsbedarf in ihrem Unternehmen in den folgenden Punkten ein? Authentisierung > Datensicherheit / Datenschutz* Datenverfügbarkeit Externe Kommunikation Patch-Level Daten-Integrität n = 139 4 % 2 % 4 % 19 % 71 % Ø 4,5** sehr niedrig niedrig mittel hoch sehr hoch ©FraunhoferIAO * Wert der Daten, Datenschutzrichtlinien etc. ** 1 entspricht »sehr niedrig«, 5 entspricht »sehr hoch« Der Sicherheitsbedarf bei der Datensicherheit bzw. beim Datenschutz betrifft den Zugriff auf die in der Cloud gespeicherten Daten: Niemand soll auf die Daten zugreifen können, dem es nicht erlaubt ist. Eine große Mehrheit der Befragten (71 Prozent) betrachtet die eigenen Daten als sehr schützenswert und legt deswegen einen sehr hohen Wert auf die Datensicherheit. 0 10 20 30 40 % 50 60
  • 25. © Fraunhofer IAO 25 Wie schätzen Sie den Sicherheitsbedarf in ihrem Unternehmen in den folgenden Punkten ein? Authentisierung Datensicherheit / Datenschutz > Datenverfügbarkeit* Externe Kommunikation Patch-Level Daten-Integrität 4 % 2 % 32 % 60 % sehr niedrig niedrig mittel hoch sehr hoch ©FraunhoferIAO n = 139 Ø 4,5** * Failover, Backups, Netzwerkverfügbarkeit etc. ** 1 entspricht »sehr niedrig«, 5 entspricht »sehr hoch« Der Sicherheitsbedarf bei der Datenverfügbarkeit betrifft die Gewährleistung durchgängiger Funktionalität des Dienstes in der Cloud. Cloud-Anbieter verwenden Mechanismen wie Failover-Systeme, Backups und redundante Netzwerkstrukturen, um eine vollständige Verfügbarkeit ihrer Systeme garantieren zu können. Für eine absolute Mehrheit der Befragten (92 Prozent) hat die Verfügbarkeit einen hohen bis sehr hohen Stellenwert. Cloud-Lösungen müssen zu jedem Zeitpunkt Zugriff auf Daten und Prozesse bereitstellen. 0 10 20 30 40 % 50 60 1 %
  • 26. © Fraunhofer IAO 26 Wie schätzen Sie den Sicherheitsbedarf in ihrem Unternehmen in den folgenden Punkten ein? Authentisierung Datensicherheit / Datenschutz Datenverfügbarkeit > Externe Kommunikation* Patch-Level Daten-Integrität 4 % 9 % 29 % 56 % sehr niedrig niedrig mittel hoch sehr hoch ©FraunhoferIAO n = 137 Ø 4,3** * VPN, Verschlüsselung etc. ** 1 entspricht »sehr niedrig«, 5 entspricht »sehr hoch« Der Sicherheitsbedarf bei der externen Kommunikation betrifft den Austausch mit externen Partnern und eigenen Kollegen über ein Netzwerk. Informationen, die über diesen Kanal laufen, sind unter Umständen geheim und sind über Mechanismen wie Nachrichtenverschlüsselung oder Trennung eines Netzwerkes über VPN abzusichern. Auch hier gibt eine große Mehrheit der Befragten (85 Prozent) einen hohen bis sehr hohen Sicherheitsbedarf an. Absprachen, die über digitale Kommunikationswege getroffen werden, sind wichtig und müssen entsprechend gesichert werden. 0 10 20 30 40 % 50 60 1 %
  • 27. © Fraunhofer IAO 27 Wie schätzen Sie den Sicherheitsbedarf in ihrem Unternehmen in den folgenden Punkten ein? Authentisierung Datensicherheit / Datenschutz Datenverfügbarkeit Externe Kommunikation > Patch-Level* Daten-Integrität 7 % 21 % 41 % 30 % sehr niedrig niedrig mittel hoch sehr hoch ©FraunhoferIAO n = 137 Ø 3,9** * z.B. die durchschnittliche Zeit bis zum Einspielen neuer Sicherheitspatches ** 1 entspricht »sehr niedrig«, 5 entspricht »sehr hoch« Der Sicherheitsbedarf beim Patch-Level betrifft die Aktualisierung von Softwareprodukten. Dies ist nötig, da neue Versionen oftmals Sicherheitslücken beheben oder neue Funktionalitäten enthalten. Es ist nicht nur das Betriebssystem betroffen, sondern jegliche installierte Software. Die Befragten unterstützen die Wichtigkeit dieses Punktes und geben einen hohen Bedarf an. Die Dringlichkeit ist jedoch nicht so stark wie bei den vorangegangenen Punkten Datenschutz, Verfügbarkeit oder externe Kommunikation. 0 10 20 30 40 % 50 60 1 %
  • 28. © Fraunhofer IAO 28 Wie schätzen Sie den Sicherheitsbedarf in ihrem Unternehmen in den folgenden Punkten ein? Authentisierung Datensicherheit / Datenschutz Datenverfügbarkeit Externe Kommunikation Patch-Level > Daten-Integrität* 3 % 3 % 7 % 25 % 62 % sehr niedrig niedrig mittel hoch sehr hoch ©FraunhoferIAO n = 138 Ø 4,4** * z.B. Manipulierbarkeit von Daten – sowohl im Haus als auch bei der externen Kommunikation ** 1 entspricht »sehr niedrig«, 5 entspricht »sehr hoch« Der Sicherheitsbedarf bei der Daten-Integrität betrifft hauptsächlich die nicht nachvollziehbare Veränderung von Daten, sei es auf dem Übertragungsweg oder bei der Speicherung. Die Befragten geben in der großen Mehrheit (87 Prozent) einen hohen bis sehr hohen Sicherheitsbedarf an. Daten-Integrität ist vor allem wichtig für Vertragsdaten, deren Inhalt nach Abschluss nicht mehr verändert werden darf. 0 10 20 30 40 % 50 60
  • 29. © Fraunhofer IAO 29 Wie schätzen Sie den Sicherheitsbedarf in ihrem Unternehmen in den folgenden Punkten ein?* Authentisierung Datensicherheit / Datenschutz Datenverfügbarkeit Externe Kommunikation Patch-Level Daten-Integrität * Mittelwerte 1 sehr niedrig 2 3 4 5 sehr hoch Ø (n) = 137 Externe Kommunikation Authentisierung Patch-Level Daten-Integrität Datenverfügbarkeit Datensicherheit / Datenschutz Ø 4,3 Ø 4,3 Ø 4,4 Ø 3,9 Ø 4,5 Ø 4,5 © Fraunhofer IAO Der direkte Vergleich der Mittelwerte ordnet die Sicherheitsbedarfe nach ihrer Wichtigkeit an.
  • 30. © Fraunhofer IAO 30 * Mehrfachantworten möglich Welche Themen sind in Bezug auf »Cloud Security« für Sie besonders wichtig?* (I) Sicherheitsarchitektur Verschlüsselungsmechanismen 0 10 20 30 40 50 60 70 80 % n = 141 Trennung von Kundendaten Rechtliche Risiken Informationssicherheit Angriffe, Bedrohungen (z.B. Spoofing, Tampering) Kontrollverlust über Unternehmensdaten Authentisierung 40 % 40 % 47 % 40 % 57 % 53 % 49 % 57 % 77 % 62 % Absicherungsmöglichkeiten (z.B. Service bzw. Security Level Agreements) Datenschutz Top 10 © Fraunhofer IAO Die Antworten auf die Frage nach den wichtigsten Themen erlauben Aussagen darüber, welche Sicherheitseigenschaften in Cloud-Computing-Lösungen als erstes angegangen werden müssen. An erster Stelle steht der Datenschutz, was sich auch in den vorangegangenen Ergebnissen widerspiegelt. An zweiter Stelle stehen die Absicherungsmöglichkeiten, die im Schadensfall klären, wie der Anbieter reagieren muss. An vierter Stelle steht die Sorge, dass durch Cloud Computing ein Kontrollverlust über Unternehmensdaten entsteht, da diese nicht mehr im eigenen Unternehmen gespeichert sind. Zusammen mit den rechtlichen Risiken, die auf Platz sieben genannt sind, lässt sich schließen, dass vielen Unternehmen noch nicht klar ist, was sie extern speichern dürfen, können oder sollten bzw. besser nicht sollten.
  • 31. © Fraunhofer IAO 31 * Mehrfachantworten möglich Welche Themen sind in Bezug auf »Cloud Security« für Sie besonders wichtig?* (II) Trennung von Prozessen Monitoring 0 10 20 30 40 50 60 70 80 % n = 141 Sonstiges Zertifizierung IT-Governance Risikomanagement Wirtschaftlichkeit von Cloud-Sicherheit 22 % 19 % 24 % 28 % 26 % 38 % Compliance-Risiken 38 % 5 % © Fraunhofer IAO Zu den sonstigen Themen, die als Freitext angegeben wurden, gehören Datenverfügbarkeit, Verantwortlichkeit (Kunde versus Cloud-Betreiber), notwendige Änderungen an den IT-Anwendungen, um sie Cloud-fähig zu machen, Privacy, Wiederherstellungszeit für Daten nach einem Crash und die generelle Aussage: »In Bezug auf Sicherheit sind alle diese Themen wichtig«.
  • 32. 32 © Fraunhofer IAO »SICHERE CLOUD«  Untersuchungsdesign  Ergebnisse der Studie  Ansprechpartner
  • 33. © Fraunhofer IAO 33 Erik Hebisch Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO Nobelstraße 12 70569 Stuttgart Telefon +49 711 970-2408 Telefax +49 711 970-2192 erik.hebisch@iao.fraunhofer.de Sabrina Lamberth Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO Nobelstraße 12 70569 Stuttgart Telefon +49 711 970-5137 Telefax +49 711 970-2192 sabrina.lamberth@iao.fraunhofer.de Ansprechpartner www.swm.iao.fraunhofer.de www.cloud.fraunhofer.de www.dienstleistung.iao.fraunhofer.de