2 - Strategische Planung

Bevor Daten und Datenanwendungen in die Cloud ausgelagert werden, ist die Durchführung einer strategischen Planung unbedingt anzuraten.

Diese Planung sollte eine Schutzbedarfsfeststellung, eine Bedarfs- und Risikoanalyse und erforderlichenfalls eine Datenschutzfolgenabschätzung umfassen. Die Planungsergebnisse bilden letztendlich die Grundlage für eine fundierte Entscheidung, ob und in welcher Form Cloud-Services für den gegebenen Anwendungsfall eingesetzt werden können.

Dieser Abschnitt behandelt die wichtigsten Aspekte einer solchen strategischen Planung und unterstützt damit bei der Herbeiführung einer Entscheidung über den Einsatz von Cloud Computing für einen gegebenen Anwendungsfall.

Vorgehensweise

Die strategische Planung liefert wichtige Entscheidungsgrundlagen für oder gegen eine Verwendung von Cloud Computing. Sie sollte daher für jeden Anwendungsfall systematisch durchlaufen werden und zumindest die folgenden Planungsschritte enthalten:

  • 1. Schutzbedarfsfeststellung

Der erste Schritt der strategischen Planung ist die Schutzbedarfsfeststellung. Diese dient der Ermittlung des angemessenen Schutzbedarfs der auszulagernden Daten und Datenanwendungen. Der Schutzbedarf orientiert sich an den möglichen Schäden, die bei einer Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Datenanwendungen sowie der betroffenen Geschäftsprozesse der Organisation zu erwarten sind.

  • 2. Bedarfsanalyse

Die Bedarfsanalyse ist zentraler Bestandteil der strategischen Planung und folgt unmittelbar auf die Schutzbedarfsfeststellung. Wichtige Elemente der Bedarfsanalyse sind rechtliche und betriebliche Rahmenbedingungen, Zertifizierungs- und Prüfungsstandards sowie Gütesiegel.

  • 3. Risikoanalyse

Im Rahmen der Risikoanalyse sind die bestehenden Informationssicherheitsrisiken aus Sicht des Cloud-Service-Kunden zu identifizieren und zu analysieren sowie geeignete Sicherheitsmaßnahmen zur Risikoreduzierung festzulegen.

  • 4. Datenschutz-Folgenabschätzung

Im Rahmen der Datenschutz-Folgenabschätzung (DSFA) sind die bestehenden Datenschutzrisiken aus Sicht der Betroffenen zu identifizieren und zu analysieren sowie geeignete Sicherheitsmaßnahmen zur Risikoreduzierung festzulegen. Die hierbei skizzierten Elemente einer DSFA beziehen sich zumeist auf die DSGVO. Dieser Fokus wurde bewusst gewählt, da die DSGVO in Zukunft das Fundament datenschutzrechtlicher Aspekte in Europa darstellen wird.

Weitere Informationen

Letzte Aktualisierung: 3. September 2018

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria