Eine Bedrohung für die Nutzer?
Outsourcing der Informationstechnologie an externe Anbieter ist heute Bestandteil der IT-Strategie der meisten großen Unternehmen. Cloud Computing hat das Potential das klassische Konzept des IT-Outsourcings zu revolutionieren. Neben einer erheblichen Steigerung der Effizienz bei der Vergabe sowie Erstellung der IT-Dienstleistungen durch Dritte ermöglicht Cloud Computing besonders kleineren bzw. mittelständischen Unternehmen den Zugang zu Sourcingmodellen und Synergieeffekten, die zuvor ausschließlich Großunternehmen vorbehalten waren. Das wiederholte Auftreten von IT Sicherheitsvorfällen hat in den vergangenen Jahren das Vertrauen der Nutzer in Cloud Computing nachhaltig beschädigt und viele potentielle Nutzer langfristig abgeschreckt. Aktuelle Studien belegen, dass das als sehr hoch wahrgenommene IT Sicherheitsrisiko heute in vielen Fällen der wichtigste Grund ist Cloud Computing Lösungen nicht zu nutzen. Obwohl aus Sicht unabhängiger Experten geeignete IT Sicherheitsmaßnahmen existieren, sind diese in den angebotenen Diensten oftmals nicht implementiert.
Es stellt sich daher die Frage, ob die Entscheidungsträger der Anbieterunternehmen die IT Sicherheitsrisiken der Cloud ggf. erheblich unterschätzen und in Folge erforderliche Sicherheitsmaßnahmen und -konzepte nicht hinreichend umsetzen? Eine mögliche systematische Unterschätzung der IT Sicherheitsrisiken durch die Cloud Computing Anbieter beruht im Wesentlichen auf dem Umstand, dass nicht das tatsächliche Risiko, sondern das seitens einzelner Personen wahrgenommene Risiko, bspw. durch den Sicherheitsbeauftragten oder CIO, die Risikobewertung für ein Unternehmen bestimmt. Die Einschätzung von den IT Sicherheitsrisiken durch die Entscheidungsträger der Anbieter bestimmt wiederum deren Bereitschaft für Investitionen in Sicherheitsmaßnahmen und somit die Nutzung von IT Sicherheitsmaßnahmen. Nehmen die Verantwortlichen die Dienste ihres Unternehmens bspw. als besonders gefährdet bzgl. eines bestimmten IT Sicherheitsrisikos wahr, sind sie eher bereit in entsprechende Sicherheitsmaßnahmen zu investieren.
Unrealistischer Optimismus
Eine systematische Unterschätzung der persönlichen Verwundbarkeit durch Risiken wird in der psychologischen Forschung im Allgemeinen als „unrealistischer Optimismus“ oder „optimistischer Fehlschluss“ bezeichnet. Mit einer großangelegten Studie konnten wir dabei anhand der spezifischen IT Sicherheitsrisiken von Cloud Computing zeigen, dass der s.g. „unrealistischer Optimismus“ sowohl relativ zu anderen Wettbewerbern als auch insgesamt eine korrumpierte Wahrnehmung bzw. systematische Unterschätzung der relevanten IT Sicherheitsrisiken seitens vieler Entscheidungsträger bei Cloud Computing Anbieter bedingt. Grundlage der Studie war eine quantitative empirische Studie unter den Cloud Computing Anbietern im deutschen Markt, wobei die Entscheidungsträger gebeten wurden, die IT Sicherheitsrisiken jeweils für das eigene Unternehmen sowie den durchschnittlichen Wettbewerber im Markt zu bewerten. Abbildung 1 zeigt die aggregierte Bewertung der TOP 10 IT Sicherheitsrisiken aus Anbietersicht für das eigene Unternehmen und den durchschnittlichen Wettbewerber. Hochsignifikante Unterschiede in den Einschätzungen im Marktdurchschnitt zeigen dabei, dass im Cloud Computing Markt ein hohes Maß an „unrealistischem Optimismus“ die Wahrnehmung der Entscheidungsträger beeinflusst. Schätzt ein Entscheidungsträger die IT Sicherheitsrisiken für die Cloud Computing Dienste des eigenen Unternehmens im Vergleich zu denen anderer Anbieter als generell geringer ein, sinkt gleichzeitig die Wahrnehmung der absoluten Bedrohung der eigenen Dienste durch die IT Sicherheitsrisiken. In Folge sinkt die Bereitschaft des Entscheidungsträgers Investitionen in zusätzliche IT Sicherheitsmaßnahmen zu tätigen, die im Rahmen der Studie belegt werden konnten.
Mit der Schaffung eines besseren Verständnisses möglicher systematischer Fehlleistungen bei der Wahrnehmung von Risiken, ermöglichen diese Ergebnisse den Anbietern eine Verbesserung ihrer IT Risikomanagementprozesse, bspw. durch die gezielte Einbeziehung externer Informationsquellen. Eine korrekte Bewertung der IT-Sicherheitsrisiken seitens der Anbieter stellt in diesem Zusammenhang eine Grundvoraussetzung dar, um mögliche Bedrohungen rechtzeitig zu identifizieren und Sicherheitsmaßnahmen in erforderlichem Umfang zu implementieren. Durch die Implementierung der objektiv erforderlichen Sicherheitsmaßnahmen kann sowohl der Schutz der Cloud Computing Angebote erheblich gesteigert und der finanzielle Aufwand optimiert werden als auch die Akzeptanz der Cloud langfristig verbessert werden. Auch wenn insbesondere die Marketingabteilungen der Anbieter angesichts der zögerlichen Nachfrage unablässig den umfassenden Schutz der Cloud Computing Dienste betonen, sollten (potentielle) Nutzer durch die Ergebnisse motiviert werden den Stand der IT-Sicherheit fortlaufend kritisch zu hinterfragen.
Abbildung 1: Wahrnehmung der IT Sicherheitsrisiken durch Cloud Computing Anbieter für die Dienste des eigenen Unternehmens sowie die des durchschnittlichen Wettbewerbers.