Freigeben über

Bewerten von Cloudrisiken

  • Artikel

In diesem Artikel wird beschrieben, wie Risiken in Verbindung mit der Cloud bewertet werden. Alle Technologien bringen bestimmte Risiken für eine Organisation mit sich. Risiken sind unerwünschte Ergebnisse, die sich auf Ihr Unternehmen auswirken könnten, z. B. Nichtkompatibilität mit Branchenstandards. Bei der Einführung der Cloud müssen Sie die Risiken identifizieren, welche die Cloud für Ihre Organisation darstellt. Das Cloudgovernanceteam erstellt Cloudgovernance-Richtlinien, um diese Risiken zu verhindern und zu mindern. Führen Sie die folgenden Aufgaben aus, um Cloudrisiken zu bewerten.

Diagramm, das den Prozess zum Einrichten und Aufrechterhalten der Cloudgovernance zeigt. Das Diagramm zeigt fünf sequenzielle Schritte: Zusammenstellen eines Cloudgovernanceteams, Dokumentieren von Cloudgovernance-Richtlinien, Durchsetzen von Cloudgovernance-Richtlinien und Überwachen der Cloudgovernance. Den ersten Schritt führen Sie einmal aus. Die anderen vier Schritte führen Sie einmal aus, um Cloudgovernance einzurichten, und dann kontinuierlich, um die Cloudgovernance aufrechtzuerhalten.

Identifizieren von Cloudrisiken

Katalogisieren Sie eine umfassende Liste der Cloudrisiken. Wenn Sie Ihre Risiken kennen, können Sie Cloudgovernance-Richtlinien erstellen, die diese Risiken verhindern und mindern können. Befolgen Sie die nachstehenden Empfehlungen, um Cloudrisiken zu identifizieren:

  • Listen Sie alle Cloudressourcen auf. Listen Sie alle Ihre Cloudressourcen auf, damit Sie die damit verbundenen Risiken umfassend identifizieren können. Sie können beispielsweise das Azure-Portal, Azure Resource Graph, PowerShell und Azure CLI verwenden, um alle Ressourcen in einem Abonnement anzuzeigen.

  • Erkennen Sie Cloudrisiken. Entwickeln Sie einen stabilen Risikokatalog als Grundlage für Cloudgovernance-Richtlinien. Um häufige Anpassungen zu vermeiden, konzentrieren Sie sich auf allgemeine Cloudrisiken, nicht auf Risiken, die nur für eine bestimmte Workload gelten. Beginnen Sie mit Risiken hoher Priorität und entwickeln Sie im Laufe der Zeit eine umfassendere Liste. Allgemeine Risikokategorien sind die Einhaltung gesetzlicher Vorschriften, Sicherheit, Betrieb, Kosten, Daten, Ressourcen und KI. Schließen Sie Risiken ein, die für Ihre Organisation einzigartig sind, z. B. nicht von Microsoft stammende Software, Partner- oder Anbietersupport sowie interne Cloudkompetenzen.

  • Beziehen Sie wichtige Stakeholder*innen mit ein. Sammeln Sie Beiträge von verschiedenen Organisationsrollen (IT, Sicherheit, Recht, Finanzen und Unternehmenseinheiten), um alle potenziellen Risiken zu berücksichtigen. Mit diesem kollaborativen Ansatz wird eine ganzheitliche Sicht der Risiken im Zusammenhang mit der Cloud sichergestellt.

  • Überprüfen Sie die Risiken. Binden Sie externe Experten ein, die über ein tiefes Verständnis der Cloud-Risikoidentifizierung verfügen, um Ihre Risikoliste zu prüfen und zu validieren. Diese Experten könnten Microsoft-Kontoteams oder spezialisierte Microsoft Partner sein. Ihr Fachkompetenzen helfen dabei, die Identifizierung aller potenziellen Risiken zu bestätigen und die Genauigkeit Ihrer Risikobewertung zu verbessern.

Azure-Unterstützung: Identifizieren von Cloudrisiken

Der folgende Leitfaden soll Ihnen helfen, Cloudrisiken in Azure zu identifizieren. Sie bietet einen beispielhaften Ausgangspunkt für wichtige Kategorien von Cloudgovernance. Azure kann dazu beitragen, einen Teil des Prozesses zum Auffinden von Risiken zu automatisieren. Verwenden Sie Azure-Tools wie Azure Advisor, Microsoft Defender for Cloud, Azure Policy, Azure Service Health und Microsoft Purview.

  • Identifizieren Sie Risiken für die Einhaltung gesetzlicher Vorschriften. Identifizieren Sie Risiken der Nichteinhaltung rechtlicher und regulatorischer Rahmenbedingungen, die Clouddaten und den Betrieb betreffen. Informieren Sie sich über die regulatorischen Anforderungen Ihrer Branche. Verwenden Sie für die ersten Schritte die Dokumentation zur Azure-Compliance.

  • Identifizieren Sie Sicherheitsrisiken. Identifizieren Sie Bedrohungen und Schwachstellen, welche die Vertraulichkeit, Integrität und Verfügbarkeit der Cloudumgebung gefährden. Verwenden Sie Azure, um Ihren Cloudsicherheitsstatus zu bewerten und Identitätsrisiken zu erkennen.

  • Identifizieren Sie Kostenrisiken. Identifizieren Sie Risiken im Zusammenhang mit den Kosten von Cloudressourcen. Kostenbezogene Risiken umfassen Überbereitstellung, unterdimensionierte Bereitstellung, Unterauslastung und unerwartete Kosten durch Datenübertragungsgebühren oder Dienstskalierung. Verwenden Sie eine Kostenbewertung, um das Kostenrisiko zu identifizieren. Schätzen Sie die Kosten mit dem Azure-Preisrechner. Analysieren und prognostizieren Sie Kosten für aktuelle Ressourcen. Identifizieren Sie unerwartete Änderungen cloudbasierter Kosten.

  • Identifizieren Sie Betriebsrisiken. Identifizieren Sie Risiken, welche die Kontinuität des Cloudbetriebs gefährden, z. B. Downtime und Datenverlust. Verwenden Sie Azure-Tools, um Risiken für Zuverlässigkeit und Leistung zu identifizieren.

  • Identifizieren Sie Datenrisiken. Identifizieren Sie Risiken im Zusammenhang mit der Datenverwaltung in der Cloud. Ziehen Sie eine nicht ordnungsgemäße Behandlung von Daten und Fehler bei der Datenlebenszyklusverwaltung in Betracht. Verwenden Sie Azure-Tools, um Datenrisiken zu identifizieren und Risiken für vertrauliche Daten zu untersuchen.

  • Identifizieren Sie Ressourcenverwaltungsrisiken. Identifizieren Sie Risiken, die sich aus dem Provisioning, der Bereitstellung, der Konfiguration und der Verwaltung von Cloudressourcen ergeben. Identifizieren Sie Risiken für erstklassige Betriebsprozesse.

  • Identifizieren Sie KI-Risiken. Regelmäßig rote Teamsprachenmodelle. Testen Sie KI-Systeme manuell und ergänzen Sie manuelle Tests durch automatisierte Risikoerkennungstools für KI. Suchen Sie nach allgemeinen Fehlern bei der Interaktion zwischen Mensch und KI. Berücksichtigen Sie Risiken im Zusammenhang mit der Verwendung, dem Zugriff und der Ausgabe von KI-Systemen. Überprüfen Sie die Grundsätze der verantwortungsvollen KI und des Reifegradmodells der verantwortungsvollen KI.

Analysieren der Cloudrisiken

Weisen Sie jedem Risiko eine qualitative oder quantitative Bewertung zu, damit Sie die Risiken nach Schweregrad priorisieren können. Die Risikopriorisierung kombiniert Risikowahrscheinlichkeit und Risikoauswirkung. Bevorzugen Sie die quantitative Risikoanalyse gegenüber der qualitativen für eine genauere Risikopriorisierung. Um Cloudrisiken zu analysieren, befolgen Sie die nachstehenden Strategien:

Bewerten der Risikowahrscheinlichkeit

Schätzen Sie die quantitative oder qualitative Wahrscheinlichkeit für das Auftreten jedes Risikos pro Jahr. Verwenden Sie einen Prozentbereich (0 %–100 %), um die jährliche, quantitative Risikowahrscheinlichkeit darzustellen. Niedrig, mittel und hoch sind gängige Bezeichnungen für die qualitative Risikowahrscheinlichkeit. Befolgen Sie die nachstehenden Empfehlungen, um die Risikowahrscheinlichkeit zu bewerten:

  • Verwenden Sie öffentliche Benchmarks. Verwenden Sie Daten aus Berichten, Studien oder Vereinbarungen zum Servicelevel, die allgemeine Risiken und deren Auftretensraten dokumentieren.

  • Analysieren Sie historische Daten. Sehen Sie sich interne Schadensberichte, Überwachungsprotokolle und andere Aufzeichnungen an, um zu ermitteln, wie oft ähnliche Risiken in der Vergangenheit aufgetreten sind.

  • Testen Sie die Effektivität der Kontrolle. Bewerten Sie zur Minimierung von Risiken die Effektivität der aktuellen Risikominderungskontrollen. Erwägen Sie die Überprüfung von Kontrolltestergebnissen, Überwachungsergebnissen und Leistungsmetriken.

Ermitteln der Risikoauswirkungen

Schätzen Sie die quantitativen oder qualitativen Auswirkungen des Risikos auf die Organisation. Ein Geldbetrag ist eine gängige Methode, um quantitative Risikoauswirkungen darzustellen. Gering, mittel und hoch sind gängige Bezeichnungen für die qualitative Risikoauswirkungen. Befolgen Sie die nachstehenden Empfehlungen, um die Risikoauswirkungen zu bestimmen:

  • Führen Sie Finanzanalysen durch. Schätzen Sie den potenziellen finanziellen Verlust eines Risikos, indem Sie Faktoren wie die Kosten für Downtime, Anwaltskosten, Geldbußen und die Kosten für Korrekturmaßnahmen betrachten.

  • Führen Sie eine Bewertung der Auswirkungen auf den Ruf des Unternehmens durch. Verwenden Sie Umfragen, Marktforschungen oder historische Daten zu ähnlichen Vorfällen, um die potenziellen Auswirkungen auf den Ruf der Organisation zu schätzen.

  • Führen Sie Betriebsunterbrechungsanalysen durch. Bewerten Sie den Umfang der Betriebsunterbrechungen, indem Sie Downtime, Produktivitätsverluste und die Kosten alternativer Arrangements schätzen.

  • Bewerten Sie rechtliche Auswirkungen. Schätzen Sie potenzielle Rechtskosten, Geldbußen und Strafen im Zusammenhang mit Nicht-Compliance oder Verstößen.

Berechnen der Risikopriorität

Weisen Sie jedem Risiko eine Risikopriorität zu. Die Risikopriorität ist die Wichtigkeit, die Sie einem Risiko zuweisen, damit Sie wissen, ob das Risiko mit hoher, mittlerer oder niedriger Dringlichkeit behandelt werden soll. Die Risikoauswirkungen sind wichtiger als die Risikowahrscheinlichkeit, da ein wirkungsvolles Risiko dauerhafte Folgen haben kann. Das Governanceteam muss in der gesamten Organisation eine konsistente Methodik zur Priorisierung von Risiken verwenden. Befolgen Sie die nachstehenden Empfehlungen, um die Risikopriorität zu berechnen:

  • Verwenden Sie eine Risikomatrix für qualitative Bewertungen. Erstellen Sie eine Matrix, um jedem Risiko eine qualitative Risikopriorität zuzuweisen. Eine Achse der Matrix stellt die Risikowahrscheinlichkeit (hoch, mittel, niedrig) und die andere die Risikoauswirkung (hoch, mittel, gering) dar. Die folgende Tabelle enthält ein Beispiel für eine Risikomatrix:

    Geringe Auswirkung Mittlere Auswirkung Hohe Auswirkung
    Niedrige Wahrscheinlichkeit Sehr niedrig Mäßig niedrig Mäßig hoch
    Mittlere Wahrscheinlichkeit Niedrig Mittel High
    Hohe Wahrscheinlichkeit Medium Hoch Sehr hoch

  • Verwenden Sie Formeln für quantitative Bewertungen. Verwenden Sie die folgende Berechnung als Baseline: Risikopriorität = Risikowahrscheinlichkeit x Risikoauswirkung. Passen Sie die Gewichtung der Variablen nach Bedarf an, um die Ergebnisse der Risikopriorität anzupassen. Beispielsweise könnten Sie mit dieser Formel mehr Gewicht auf die Risikoauswirkungen legen: Risikopriorität = Risikowahrscheinlichkeit x (Risikoauswirkung x 1,5).

Zuweisen einer Risikostufe

Kategorisieren Sie jedes Risiko in eine von drei Stufen: Hohes Risiko (Stufe 1), Teilrisiko (Stufe 2) und Risikotreiber (Stufe 3). Mit Risikostufen können Sie eine geeignete Risikomanagementstrategie planen und zukünftige Herausforderungen antizipieren. Risiken der Stufe 1 gefährden die Organisation oder Technologie. Risiken der Stufe 2 fallen unter das Risiko der Stufe 1. Risiken der Stufe 3 sind Trends, die potenziell zu einem oder mehreren Risiken der Stufe 1 oder Stufe 2 führen könnten. Erwägen Sie z. B. die Nichteinhaltung von Datenschutzgesetzen (Stufe 1), unsachgemäße Cloudspeicher-Konfigurationen (Stufe 2) und die zunehmende Komplexität regulatorischer Anforderungen (Stufe 3).

Bestimmen der Risikomanagementstrategie

Identifizieren Sie für jedes Risiko geeignete Risikobehandlungsoptionen, z. B. Vermeiden, Mindern, Übertragen oder Akzeptieren des Risikos. Stellen Sie eine Erklärung der Auswahl bereit. Wenn Sie z. B. ein Risiko akzeptieren möchten, da die Kosten für die Minderung zu hoch sind, sollten Sie diese Begründung für zukünftige Referenzen dokumentieren.

Zuweisen von Risikoverantwortlichen

Legen Sie für jedes Risiko eine*n primäre*n Risikoverantwortliche*n fest. Der*die Risikoverantwortliche ist für die Verwaltung des jeweiligen Risikos zuständig. Diese Person koordiniert die Risikomanagementstrategie in allen beteiligten Teams und ist der*die erste Ansprechpartner*in für die Risikoeskalation.

Dokumentieren von Cloudrisiken

Dokumentieren Sie jedes Risiko und die Details der Risikoanalyse. Erstellen Sie eine Liste der Risiken (Risikoregister), die alle Informationen enthält, die Sie benötigen, um Risiken zu identifizieren, zu kategorisieren, zu priorisieren und zu verwalten. Entwickeln Sie eine standardisierte Sprache für die Risikodokumentation, damit jeder die Cloudrisiken leicht verstehen kann. Ziehen Sie dabei folgende Elemente in Betracht:

  • Risiko-ID: Ein eindeutiger Bezeichner für jedes Risiko. Erhöhen Sie den Bezeichner fortlaufend, während Sie neue Risiken hinzufügen. Wenn Sie Risiken entfernen, können Sie Lücken in der Sequenz lassen oder die Lücken in der Sequenz ausfüllen.
  • Risikomanagementstatus: Der Status des Risikos (offen, geschlossen).
  • Risikokategorie: Eine Bezeichnung wie Einhaltung gesetzlicher Vorschriften, Sicherheit, Kosten, Betrieb, KI oder Ressourcenmanagement.
  • Risikobeschreibung Eine kurze Beschreibung des Risikos.
  • Risikowahrscheinlichkeit: Die Wahrscheinlichkeit des Auftretens des Risikos pro Jahr. Verwenden Sie einen Prozentsatz oder eine qualitative Bezeichnung.
  • Risikoauswirkungen: Die Auswirkungen auf die Organisation, wenn das Risiko auftritt. Verwenden Sie einen Geldbetrag oder eine qualitative Bezeichnung.
  • Risikopriorität: Der Schweregrad des Risikos (Wahrscheinlichkeit x Auswirkung). Verwenden Sie einen Geldbetrag oder eine qualitative Bezeichnung.
  • Risikostufe: Die Art des Risikos. Verwenden Sie Hohes Risiko (Stufe 1), Teilrisiko (Stufe 2) oder Risikotreiber (Stufe 3).
  • Risikomanagementstrategie: Der Ansatz zur Handhabung des Risikos, z. B. Minderung, Akzeptanz oder Vermeidung.
  • Durchsetzung des Risikomanagements: Die Techniken zur Durchsetzung der Risikomanagementstrategie.
  • Risikoverantwortliche*r: Die Person, die das Risiko verwaltet.
  • Schließungsdatum des Risikos: Ein Datum, an dem die Risikomanagementstrategie angewendet werden soll.

Weitere Informationen finden Sie unter Beispiel für eine Risikoliste.

Kommunizieren von Cloudrisiken

Teilen Sie die identifizierten Cloudrisiken unmissverständlich dem*der leitenden Sponsor*in und der leitenden Führungsebene mit. Ziel ist es, sicherzustellen, dass die Organisation Cloudrisiken Priorität einräumt. Stellen Sie regelmäßige Updates zum Cloud-Risikomanagement bereit und kommunizieren Sie, wenn Sie zusätzliche Ressourcen benötigen, um Risiken zu verwalten. Fördern Sie eine Kultur, in der die Verwaltung von Cloudrisikomanagement und Governance Teil des täglichen Betriebs ist.

Überprüfen von Cloudrisiken

Überprüfen Sie die aktuelle Cloudrisikoliste, um sicherzustellen, dass sie gültig und korrekt ist. Die Überprüfungen sollten regelmäßig und auch als Reaktion auf bestimmte Ereignisse erfolgen. Verwalten, aktualisieren oder entfernen Sie Risiken bei Bedarf. Befolgen Sie die nachstehenden Empfehlungen, um Cloudrisiken zu überprüfen:

  • Planen Sie regelmäßige Bewertungen. Legen Sie einen wiederkehrenden Zeitplan fest, um Cloudrisiken zu überprüfen und zu bewerten, z. B. vierteljährlich, halbjährlich oder jährlich. Suchen Sie eine Überprüfungshäufigkeit, die der Verfügbarkeit von Mitarbeitern, der Rate der Änderungen an der Cloudumgebung und der organisatorischen Risikotoleranz am besten entspricht.

  • Führen Sie ereignisbasierte Überprüfungen durch. Überprüfen Sie die Risiken als Reaktion auf bestimmte Ereignisse, z. B. die fehlgeschlagene Verhinderung eines Risikos. Erwägen Sie das Überprüfen von Risiken, wenn Sie neue Technologien einführen, Unternehmensabläufe ändern und neue Sicherheitsbedrohungen entdecken. Erwägen Sie außerdem die Überprüfung, wenn sich die Technologie, die Einhaltung gesetzlicher Vorschriften und die Risikotoleranz der Organisation ändern.

  • Überprüfen Sie die Cloudgovernance-Richtlinien. Behalten, aktualisieren oder entfernen Sie Cloudgovernance-Richtlinien, um neue, vorhandene oder veraltete Risiken zu behandeln. Überprüfen Sie nach Bedarf die Anweisung zur Cloudgovernance-Richtlinie und die Durchsetzungsstrategie für Cloudgovernance. Wenn Sie ein Risiko entfernen, bewerten Sie, ob die damit verbundenen Cloudgovernance-Richtlinien weiterhin relevant sind. Wenden Sie sich an die Stakeholder*innen, um die Cloudgovernance-Richtlinien zu entfernen oder die Richtlinien zu aktualisieren und einem neuen Risiko zuzuordnen.

Beispiel für eine Risikoliste

Die folgende Tabelle ist ein Beispiel für eine Risikoliste, die auch als Risikoregister bezeichnet wird. Passen Sie das Beispiel an die spezifischen Anforderungen und den Kontext der Azure-Cloudumgebung Ihrer Organisation an.

Risiko-ID Risikomanagement-Status Risikokategorie Risikobeschreibung Risikowahrscheinlichkeit Risikoauswirkungen Risikopriorität Risikostufe Risikomanagementstrategie Durchsetzung des Risikomanagements Risikoverantwortliche*r Schließungsdatum des Risikos
R01 Öffnen Compliance Nichteinhaltung von Anforderungen für vertrauliche Daten 20 % ODER Mittel 100.000 USD ODER Hoch 20.000 USD ODER Hoch Stufe 2 Abschwächen Verwenden Sie Microsoft Purview für die Überwachung vertraulicher Daten.
Kompatibilitätsberichte in Microsoft Purview.		 Compliance-Lead 01.04.2024
R02 Öffnen Sicherheit Nicht autorisierter Zugriff auf Clouddienste 30 % ODER Hoch 200.000 USD ODER Hoch 60.000 USD ODER Sehr hoch Stufe 1 Abschwächen Multi-Faktor-Authentifizierung (MFA) in Microsoft Entra ID.
Monatliche Zugriffsüberprüfungen in Microsoft Entra ID Governance.		 Leiter*in der Sicherheitsabteilung 15.03.2024
R03 Öffnen Sicherheit Unsichere Codeverwaltung 20 % ODER Mittel 150.000 USD ODER Hoch 30.000 USD ODER Hoch Stufe 2 Abschwächen Verwenden Sie das definierte Code-Repository.
Verwenden Sie das Quarantänemuster für öffentliche Bibliotheken.		 Leitende*r Entwickler*in 30.03.2024
R04 Öffnen Kosten Zu hohe Kosten für Clouddienste aufgrund von Überbereitstellung und fehlender Überwachung 40 % ODER Hoch 50.000 USD ODER Mittel 20.000 USD ODER Hoch Stufe 2 Abschwächen Legen Sie Budgets und Warnungen für Workloads fest.
Überprüfen und befolgen Sie Azure Advisor-Kostenempfehlungen.		 Verantwortliche*r für die Kosten 01.03.2024
R05 Öffnen Betrieb Dienstunterbrechung aufgrund eines Ausfalls der Azure-Region 25 % ODER Mittel 150.000 USD ODER Hoch 37.500 USD ODER Hoch Stufe 1 Abschwächen Unternehmenskritische Workloads verfügen über eine Aktiv/Aktiv-Architektur.
Andere Workloads verfügen über eine Aktiv/Passiv-Architektur.		 Betriebsleiter*in 20.03.2024
R06 Öffnen Daten Verlust vertraulicher Daten aufgrund unsachgemäßer Verschlüsselung und Datenlebenszyklusverwaltung 35 % ODER Hoch 250.000 USD ODER Hoch 87.500 USD ODER Sehr hoch Stufe 1 Abschwächen Wenden Sie die Verschlüsselung während der Übertragung und im Ruhezustand an.
Richten Sie Datenlebenszyklusrichtlinien mithilfe von Azure-Tools ein.		 Daten-Lead 10.04.2024
R07 Öffnen Ressourcenverwaltung Fehlkonfiguration von Cloudressourcen, die zu nicht autorisiertem Zugriff und Datengefährdung führt 30 % ODER Hoch 100.000 USD ODER Hoch 30.000 USD ODER Sehr hoch Stufe 2 Abschwächen Verwenden von Infrastruktur als Code (Infrastructure as Code, IaC)
Setzen Sie Tagginganforderungen mit Azure Policy durch.		 Ressourcen-Lead 25.03.2024
R08 Öffnen KI KI-Modell, das aufgrund nicht repräsentativer Trainingsdaten voreingenommene Entscheidungen erzeugt 15 % ODER Niedrig 20.000 USD ODER Hoch 30.000 USD ODER Mäßig hoch Stufe 3 Abschwächen Verwenden Sie Ausgleichsmaßnahmen zur Inhaltsfilterung.
Wenden Sie monatlich Red Teaming auf KI-Modelle an.		 KI-Lead 01.05.2024

Nächster Schritt

Dokumentieren von Cloudgovernance-Richtlinien