Open Access

Anna Damm

• Die rasanten technologischen Entwicklungen und die zunehmende Digitalisierung haben die Abhängigkeit von digitaler Infrastruktur drastisch intensiviert. Zusätzlich steigen die Anforderungen und gesetzlichen Verpflichtungen der Unternehmerinnen und Unternehmer, wie beispielsweise mit der Einführung der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2) im Jahr 2024 in der Europäischen Union. Infolgedessen wird es für Unternehmen umso entscheidender, eine Möglichkeit zur Bewertung ihrer Informationssicherheit zur Verfügung zu haben, sei es zur Erfüllung gesetzlicher Anforderungen oder zur Vorbereitung auf Zertifizierungen. Die Internationale Organisation für Normung (ISO) reagierte auf die sich verändernden Anforderungen der IT-Strategie, indem sie die Norm ISO/IEC 27017 geschaffen hat, die speziell auf die Implementierung von sicherheitsrelevanten Maßnahmen im Zusammenhang mit Cloud-Computing ausgerichtet ist. Das Magellan Maturity-Model, welches bereits auf der ISO/IEC-Norm 27001 basiert, wird in dieser Masterarbeit adaptiert. Damit soll ein spezielles Modell für Cloud und Managed Services geschaffen werden. Auf Grundlage dieses Modells wird ein neues Bewertungskonzept sowohl für Managed Services als auch für Cloud-Services entwickelt, das sich anhand von ISO/IEC-Normen, Gesetzen und Richtlinien orientiert. Das Hauptziel besteht darin, den Reifegrad der genannten Services im Bereich der Informationssicherheit zu beurteilen. Die Evaluierung des Bewertungskonzepts erfolgt einerseits mittels einer Fallstudie, in der das erstellte Sicherheitskonzept anhand von Vertragsvereinbarungen geprüft wird und andererseits in der Praxis. In dieser Phase wird die Meinung von Experten eingeholt und die Ergebnisse der Fallstudie sowie das Bewertungskonzept validiert. Die Forschungsfrage kann erfolgreich mit einem Sicherheitskonzept beantwortet werden, was eine solide Grundlage für weitere Untersuchungen darstellt. Die Berücksichtigung der vier Dimensionen (Integrität, Vertraulichkeit, Verfügbarkeit und Compliance) in der Reifegradbewertung kann in zukünftigen Untersuchungen eine Verbesserung darstellen.
• Rapid technological development and increasing digitalisation have drastically intensified dependence on digital infrastructure. In addition, the requirements and legal obligations of entrepreneurs are growing, such as with the introduction of the Directive on measures for a high common level of cybersecurity across the Union (NIS2) by the European Union in 2024. As a result, it is crucial for companies to be able to assess their information security, whether it fulfils legal requirements, and to prepare for certifications. The International Organization for Standardization (ISO) has adapted to evolving IT needs by developing the ISO/IEC 27017 standard. This standard is designed specifically for implementing security measures related to cloud computing. The Magellan Maturity Model, based on the ISO/IEC 27001 standard, is adapted in this thesis to create a bespoke model for cloud and managed services. Based on this model, a new assessment concept is developed for both managed services and cloud services that aligns with ISO/IEC standards, laws, and guidelines. The objective is to assess the maturity level of the cloud and managed services in information security. The evaluation of the assessment concept is conducted both in practice and via a case study which tests the security concept created on the basis of contractual agreements. Expert opinion is obtained and the results of the case study and the evaluation concept are validated. The research question is successfully answered with a safety concept and provides a solid basis for further investigations. The consideration of the four dimensions (integrity, confidentiality, availability and compliance) in the maturity level assessment could be future work.