Kritische Betrachtung der Sicherheitsaspekte von BPM in der Cloud

Abstract

Das Thema Cloud Computing hat in den letzten Jahren immer mehr an Bedeutung gewonnen, insbesondere Klein- und mittelständische Firmen können von der Cloud profitieren, da z.B. weniger in den Aufbau einer eigenen IT investiert werden muss. Die Kombination von BPM und Cloud Computing steht allerdings noch am Anfang ihrer Entwicklung. Zwar bieten schon einige Unternehmen BPM in der Cloud an (BPMaaS) und der Markt wächst stetig aber das Angebot ist momentan noch überschaubar, in Bezug auf Benutzung und Entwicklung. Der Vorteil Geschäftsprozesse in der Cloud zu bearbeiten geht Hand in Hand mit den Vorteilen des Cloud Computing im Allgemeinen. Allerdings muss auch, ungeachtet der Vorteile, die die Cloud mit sich bringt, genau bedacht werden, welche Daten in die Cloud übermittelt werden und welcher Cloudanbieter ausgewählt wird. Insbesondere der Datenschutz und die Datensicherheit spielen hier eine große Rolle. Denn wenn in Deutschland personenbezogene Daten in die Cloud ausgelagert werden, müssen diese gemäß den Regelungen des Bundesdatenschutzgesetzes behandelt werden. Da der Cloudnutzer für den Schutz dieser Daten verantwortlich bleibt, auch wenn diese auf den Servern des Cloud Service Provider liegen, besteht hierbei große Vorsicht bei der Auswahl des Cloudanbieters. Vor allem wenn die Server desjenigen außerhalb des Europäischen Wirtschaftsraumes (EWR) liegen, wie z.B. in den USA, da dort ein weitaus geringeres Datenschutzniveau besteht als in Deutschland. Das Ziel dieser Diplomarbeit ist es, diese Schwierigkeiten in Bezug auf Datenschutz und Datensicherheit offenzulegen. Mittels eines Kriterienkataloges werden die wichtigsten Anforderungen und Sicherheitskriterien an die Cloud aufgelistet und mit denen der Cloudanbieter verglichen und eingeordnet. Vor diesem Hintergrund werden auch Möglichkeiten betrachtet, inwiefern und mit welchen Mitteln sensible Daten anonymisiert werden können, um eine rechtskonforme Speicherung der Daten, gemäß dem Bundesdatenschutzgesetzes, gewährleisten zu können.

The topic of cloud computing became more important in the last few years, especially in relation to small enterprises, because they can benefit from the advantages of the Cloud, such as less investment in the own IT infrastructure. But the combination of BPM and Cloud Computing is only just beginning to develop. Although some companies offer Business Process Management in the Cloud and the market continues to grow, but the offer is relatively modest. The benefits of moving business processes into the cloud (such as BPMaaS) are the same as those which offers cloud computing in general. What need to be considered, however, is which data is to be outsourced in the cloud and which provider needs to be selected. In particular, data protection and data security play an important role in this topic. If german personal data are transferred into the cloud, the data must be treated in accordance with the German Federal Data Protection Act. The cloud computing user stays responsible for all content and data, even if this data will be stored on the provider’s server, so caution is also recommended in this case. Especially when these servers are outside of the European Economic Area, such as USA, because there consist a much lower level of data privacy protection than in Germany. The purpose of this diploma thesis is to explore these difficulties in relation to data protection and data security. By means of a catalog of criteria, the most important requirements and security criteria will be listed and compared with those of the provider. Against this background a number of possible opportunities for a concept of "anonymization" of data are considered, to secure that the data storage complies with legal requirements, such as the German Federal Data Protection Act.