Die vorliegende Hausarbeit geht der Forschungsfrage nach, unter welchen Voraussetzungen Cloud-Dienstleister von KRITIS-Betreibern als kritische Infrastrukturen im sozio-technischen Sinne wahrzunehmen sind, bzw. ob die Einordnung von Cloudanbietern als KRITIS grundsätzlich gelten muss. Hierzu werden zunächst die zur Risikobestimmung maßgeblichen Merkmale kritischer Infrastrukturen ausgearbeitet und erläutert. Daran anschließend wird an den Forschungsgegenstand des Cloud-Computings herangeführt. Ferner werden die rechtlichen Grundlagen zur Identifikation von Cloud-Diensten als KRITIS-Dienstleister sowie als kritische Infrastruktur selbst beschrieben. In der Analyse findet die Untersuchung von Cloud-Systemen auf Anwendbarkeit der KRITIS-Eigenschaften am Fallbeispiel des Cloud-Computings für das Gesundheitssystem statt.
„Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen“, so lautet es in Abs. 2 der Begründung der europäischen Datenschutzrichtlinie DSGVO. Doch das Verwalten und Sammeln personen- und geschäftsbezogener Daten auf Cloud-Speichern birgt Risiken, wie Datenverlust sowie deren Raub oder Spionage durch Dritte. Besonders Cloud-Dienste, die Einrichtungen kritischer Infrastrukturen (KRITIS) zu ihrem Kundenstamm zählen, stellen ein beliebtes Ziel von Cyberangriffen dar. Dass diese Attacken auf kritische Infrastrukturen fatale Folgen haben können, zeigten die beiden Hackerangriffe durch die Softwares „NotPetya“ und „WannaCry“ Mitte des Jahres 2017. So sorgte die WannaCry-Attacke in mehreren britischen Krankenhäusern für Systemausfälle, wodurch Patienten nicht mehr aufgenommen oder nicht behandelt werden konnten und somit Leben in Gefahr standen. Die darauffolgende Attacke durch NotPetya führte bei der Reederei Maersk zum Ausfall von 50.000 Rechnern, wodurch ein wirtschaftlicher Schaden im neunstelligen Bereich für das Unternehmen entstand; insgesamt lagen die globalen Verluste durch den Angriff schätzungsweise in Milliardenhöhe.
Inhaltsverzeichnis
- Einleitung
- Kritische Infrastrukturen
- Interaktionen in Systemen
- Kopplung
- Resilienz
- Vier-Ebenen-Modell nach Perrow
- Cloud-Computing
- Vulnerabilität
- Cloud-Computing von kritischen Infrastrukturen
- Cloud-Computing als kritische Infrastruktur
- Analyse
- Fazit
- Literatur
Zielsetzung und Themenschwerpunkte
Die vorliegende Hausarbeit befasst sich mit der Frage, unter welchen Voraussetzungen Cloud-Dienstleister von Betreibern kritischer Infrastrukturen (KRITIS) als kritische Infrastrukturen im sozio-technischen Sinne wahrzunehmen sind. Die Arbeit untersucht, ob die Einordnung von Cloud-Anbietern als KRITIS grundsätzlich gelten muss.
- Charakteristika kritischer Infrastrukturen
- Interaktionen und Kopplung in Systemen
- Vulnerabilität von Cloud-Diensten
- Cloud-Computing als kritische Infrastruktur
- Rechtliche Rahmenbedingungen
Zusammenfassung der Kapitel
Das erste Kapitel führt in das Thema ein und beleuchtet die wachsende Bedeutung von Cloud-Diensten im Kontext personenbezogener Daten und deren Risiken, insbesondere für kritische Infrastrukturen. Das zweite Kapitel definiert kritische Infrastrukturen im Sinne des Bundes-Sicherheitsgesetzes (BSIG) und analysiert deren sozio-technische Eigenschaften nach dem Modell von Charles B. Perrow.
Die Kapitel 2.1 und 2.2 befassen sich mit den Interaktionen in Systemen und der Kopplung von Komponenten. Es werden die Unterscheidung zwischen linearer und komplexer Interaktion sowie die Auswirkungen von enger und loser Kopplung auf die Stabilität und Vulnerabilität von Systemen erläutert.
Kapitel 3 widmet sich dem Cloud-Computing und dessen Vulnerabilität. Dabei werden die Besonderheiten von Cloud-Diensten für kritische Infrastrukturen sowie die Frage, ob Cloud-Computing selbst als kritische Infrastruktur betrachtet werden kann, diskutiert.
Schlüsselwörter
Kritische Infrastrukturen, Cloud-Computing, KRITIS, Interaktion, Kopplung, Vulnerabilität, Resilience, Sozio-technische Systeme, IT-Sicherheit, Datenschutz, Risikoanalyse, Cyberangriffe.
- Arbeit zitieren
- Marcel Kobold (Autor:in), 2022, Cloud-Computing in kritischen Infrastrukturen. Zwischen Dienstleistung für KRITIS-Betreiber und eigener kritischer Infrastruktur, München, GRIN Verlag, https://www.grin.com/document/1281080