Die vorliegende Hausarbeit geht der Forschungsfrage nach, unter welchen Voraussetzungen Cloud-Dienstleister von KRITIS-Betreibern als kritische Infrastrukturen im sozio-technischen Sinne wahrzunehmen sind, bzw. ob die Einordnung von Cloudanbietern als KRITIS grundsätzlich gelten muss. Hierzu werden zunächst die zur Risikobestimmung maßgeblichen Merkmale kritischer Infrastrukturen ausgearbeitet und erläutert. Daran anschließend wird an den Forschungsgegenstand des Cloud-Computings herangeführt. Ferner werden die rechtlichen Grundlagen zur Identifikation von Cloud-Diensten als KRITIS-Dienstleister sowie als kritische Infrastruktur selbst beschrieben. In der Analyse findet die Untersuchung von Cloud-Systemen auf Anwendbarkeit der KRITIS-Eigenschaften am Fallbeispiel des Cloud-Computings für das Gesundheitssystem statt.
„Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen“, so lautet es in Abs. 2 der Begründung der europäischen Datenschutzrichtlinie DSGVO. Doch das Verwalten und Sammeln personen- und geschäftsbezogener Daten auf Cloud-Speichern birgt Risiken, wie Datenverlust sowie deren Raub oder Spionage durch Dritte. Besonders Cloud-Dienste, die Einrichtungen kritischer Infrastrukturen (KRITIS) zu ihrem Kundenstamm zählen, stellen ein beliebtes Ziel von Cyberangriffen dar. Dass diese Attacken auf kritische Infrastrukturen fatale Folgen haben können, zeigten die beiden Hackerangriffe durch die Softwares „NotPetya“ und „WannaCry“ Mitte des Jahres 2017. So sorgte die WannaCry-Attacke in mehreren britischen Krankenhäusern für Systemausfälle, wodurch Patienten nicht mehr aufgenommen oder nicht behandelt werden konnten und somit Leben in Gefahr standen. Die darauffolgende Attacke durch NotPetya führte bei der Reederei Maersk zum Ausfall von 50.000 Rechnern, wodurch ein wirtschaftlicher Schaden im neunstelligen Bereich für das Unternehmen entstand; insgesamt lagen die globalen Verluste durch den Angriff schätzungsweise in Milliardenhöhe.
Inhaltsverzeichnis
- Einleitung
- Kritische Infrastrukturen
- Interaktionen in Systemen
- Kopplung
- Resilienz
- Vier-Ebenen-Modell nach Perrow
- Cloud-Computing
- Vulnerabilität
- Cloud-Computing von kritischen Infrastrukturen
- Cloud-Computing als kritische Infrastruktur
- Analyse
- Fazit
- Literatur
Zielsetzung und Themenschwerpunkte
Die vorliegende Hausarbeit befasst sich mit der Frage, unter welchen Voraussetzungen Cloud-Dienstleister von Betreibern kritischer Infrastrukturen (KRITIS) als kritische Infrastrukturen im sozio-technischen Sinne wahrzunehmen sind. Die Arbeit untersucht, ob die Einordnung von Cloud-Anbietern als KRITIS grundsätzlich gelten muss.
- Charakteristika kritischer Infrastrukturen
- Interaktionen und Kopplung in Systemen
- Vulnerabilität von Cloud-Diensten
- Cloud-Computing als kritische Infrastruktur
- Rechtliche Rahmenbedingungen
Zusammenfassung der Kapitel
Das erste Kapitel führt in das Thema ein und beleuchtet die wachsende Bedeutung von Cloud-Diensten im Kontext personenbezogener Daten und deren Risiken, insbesondere für kritische Infrastrukturen. Das zweite Kapitel definiert kritische Infrastrukturen im Sinne des Bundes-Sicherheitsgesetzes (BSIG) und analysiert deren sozio-technische Eigenschaften nach dem Modell von Charles B. Perrow.
Die Kapitel 2.1 und 2.2 befassen sich mit den Interaktionen in Systemen und der Kopplung von Komponenten. Es werden die Unterscheidung zwischen linearer und komplexer Interaktion sowie die Auswirkungen von enger und loser Kopplung auf die Stabilität und Vulnerabilität von Systemen erläutert.
Kapitel 3 widmet sich dem Cloud-Computing und dessen Vulnerabilität. Dabei werden die Besonderheiten von Cloud-Diensten für kritische Infrastrukturen sowie die Frage, ob Cloud-Computing selbst als kritische Infrastruktur betrachtet werden kann, diskutiert.
Schlüsselwörter
Kritische Infrastrukturen, Cloud-Computing, KRITIS, Interaktion, Kopplung, Vulnerabilität, Resilience, Sozio-technische Systeme, IT-Sicherheit, Datenschutz, Risikoanalyse, Cyberangriffe.
Häufig gestellte Fragen
Wann gelten Cloud-Anbieter als kritische Infrastruktur (KRITIS)?
Cloud-Dienstleister können als KRITIS eingestuft werden, wenn sie essenzielle Dienste für KRITIS-Betreiber (z.B. Krankenhäuser) bereitstellen oder selbst eine sozio-technische Bedeutung für das Gemeinwesen haben.
Was sind die Risiken von Cloud-Computing bei KRITIS?
Hauptrisiken sind Datenverlust, Spionage und Cyberangriffe (z.B. Ransomware wie WannaCry), die bei kritischen Infrastrukturen lebensbedrohliche Folgen haben können.
Was bedeutet "enge Kopplung" in kritischen Systemen?
Enge Kopplung bedeutet, dass Systemkomponenten so stark voneinander abhängen, dass Störungen sich schnell und unkontrolliert ausbreiten können.
Welche Rolle spielt Resilienz?
Resilienz beschreibt die Fähigkeit eines Systems, Störungen zu absorbieren und die Funktionsfähigkeit trotz Angriffen oder Ausfällen aufrechtzuerhalten.
Wie wird die Vulnerabilität von Cloud-Systemen bewertet?
Die Bewertung erfolgt über sozio-technische Modelle (z.B. nach Perrow), die Interaktionen, Kopplungsgrade und potenzielle Auswirkungen von Ausfällen analysieren.
- Quote paper
- Marcel Kobold (Author), 2022, Cloud-Computing in kritischen Infrastrukturen. Zwischen Dienstleistung für KRITIS-Betreiber und eigener kritischer Infrastruktur, Munich, GRIN Verlag, https://www.grin.com/document/1281080
