Menü
Ein Beitrag von Adacor

Compliance in der Cloud sicherstellen


Cloud-Lösungen gewinnen künftig für Unternehmen deutlich an Bedeutung. Denn alle wollen die Vorteile nutzen: Das Auslagern von Daten und Anwendungen in die Cloud verspricht höhere Flexibilität, bedarfsgerechtere Kosten sowie einen überschaubaren Administrationsaufwand. Allerdings verlieren Unternehmen beim Cloud Computing die ausschließliche Hoheit über ihre Daten, sie vertrauen sie einem externen Cloud Provider an. Deshalb rücken Fragen zu Sicherheit und Compliance in der Cloud zunehmend in den Mittelpunkt.

Unternehmen, die ihre Anwendungen in die Cloud verlagern, müssen sich fragen, welche Regularien für sie gelten. Denn mit der Verlagerung der Daten zum Cloud Provider entbinden sie sich nicht der Verantwortung, die Sicherheit ihrer Daten und die Einhaltung von Compliance-Anforderungen zu gewährleisten. Wie können Unternehmen dafür sorgen, dass sie die Cloud Compliance bewahren? Wichtig ist es, die Regularien zu kennen.

Maßgeblich sind vor allem die Regularien zum Datenschutz, wie sie die europäische Datenschutz-Grundverordnung vorschreibt.
Dementsprechend sollte an erster Stelle eine Kategorisierung der Daten stehen:

  • Welche Daten sind unkritisch?
  • Welche Daten sind kritisch?
  • Welche Daten unterliegen welchen gesetzlichen Anforderungen?

Völlig unabhängig davon, ob die Daten im eigenen Rechenzentrum oder in der Cloud liegen, müssen diese Fragen bei jedem IT-Projekt vorab geklärt werden. Denn die rechtlichen und unternehmensinternen Vorgaben sowie die Sicherheitsmechanismen ändern sich mit den unterschiedlichen Plattformen nicht.
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) schreibt vor, dass das Management ein unternehmensweites sogenanntes Risiko-Früherkennungssystem betreiben muss. Dieses gilt für alle Bereiche des digitalen Datenmanagements. Ein solches Informationssicherheits-Management kann effektiv durch ein Internes Kontrollsystem (IKS) unterstützt werden. Ein IKS besteht aus systematisch gestalteten organisatorischen Maßnahmen und Kontrollen im Unternehmen – mithilfe dieser Vorgaben wird gewährleistet, dass alle gesetzlich geforderten Richtlinien eingehalten und Schäden, die womöglich durch das eigene Personal, aber auch von böswillig agierenden Dritten verursacht werden können, abgewehrt werden.

Compliance Anforderungen unterscheiden sich nach Branche

Je nach Branche gestalten sich die Regularien für die Datensicherheit spezifisch. Für Finanzinstitute gelten die Bankaufsichtlichen Anforderungen an die IT (BAIT) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Wie die Mindestanforderungen an das Risikomanagement der Banken (MaRisk) interpretieren die BAIT die gesetzlichen Anforderungen des Paragrafen 25a Absatz 1 Satz 3 Nummer 4 und 5 Kreditwesengesetz (KWG). Dort ist nachzulesen, was die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unter einer angemessenen technisch-organisatorischen Ausstattung von IT-Systemen und entsprechenden Notfallkonzepten für den Fall einer Störung versteht. Da Finanzdienstleister zunehmend IT-Dienstleistungen von Dritten beziehen, erläutert Paragraf 25b des Gesetzes ausdrücklich, was bei solchen Konstellationen zu berücksichtigen ist.

Linktipp: Cloud Solution für Fintechs, Banking und Versicherungen

Die Automobilbranche orientiert sich an den Empfehlungen des Verbands der deutschen Automobilbranche (VDA). Seit 2005 gibt der VDA Empfehlungen zu den Anforderungen der Informationssicherheit für Unternehmen der Automobilindustrie heraus, die unter anderem als Leitfaden für die Zertifizierungen nach ISO 27001 und ISO 27002 dienen. 2017 wurde dieser Katalog um weitere Kontrollelemente zur Nutzung von Cloud-Diensten oder für die Kooperation mit Cloud-Dienstleistern erweitert.

Linktipp: Cloud Solution für die Automobilindustrie

Unternehmen, die kritische Infrastrukturen betreiben, unterliegen ebenfalls besonderen Regularien, festgelegt im IT-Sicherheitsgesetz. In Deutschland werden Organisationen und Einrichtungen aus den Bereichen Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur zu den Kritischen Infrastrukturen gezählt.

Eine weitere Branche, die besonderen Anforderungen unterliegt, ist das Gesundheitswesen. Schon lange ist das Thema der IT- und Datensicherheit nicht mehr nur auf den Bereich der Verwaltung beschränkt. Die Digitalisierung in der Medizin schreitet voran, sodass inzwischen auch im klinischen und im Laborbereich die Verfügbarkeit und Sicherheit von Daten eine wichtige Rolle spielt.

Kontrollziele ableiten und -systeme etablieren

Die Regularien sind also bekannt. Daraus lassen sich Kontrollziele ableiten und Kontrollsysteme implementieren. Das ist der erste Schritt, den Unternehmen gehen sollten, wenn sie ihre Cloud-Lösungen compliance-gerecht umsetzen wollen.
Schritt zwei ist die exakte Definition der Schnittstellen beziehungsweise der Abgrenzung zwischen Unternehmen und Cloud Provider. Um den richtigen Provider auszuwählen, sollten alle relevanten Teams eines Unternehmens (Geschäftsführung, Fachabteilungen, IT, Datenschutzbeauftragte oder Juristen) gemeinsam einen Leitfaden entwickeln. Orientierung für die Kriterien können die Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bitkom geben. Hilfreich ist es zudem, in Service Level Agreements (SLAs) festzulegen, dass die Daten Deutschland nicht verlassen und in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden dürfen. Die Schnittstellendefinition dokumentiert auch, wer von wo, wann und wie lange auf Daten zum Beispiel für Administrationszwecke zugreift.

Kooperationspartner intensiv prüfen

Schritt drei beinhaltet das Prüfen von Testaten, Maßnahmen und Zertifizierungen bezogen auf die Schnittstellen. Dies gelingt nur, wenn Unternehmen transparente Informationen über die Sicherheitskonzeption ihres Cloud Providers erhalten. Dabei sollten folgende Fragen geklärt werden:

  • Wo werden die Daten abgelegt und wie sind die Datenkanäle
    abgesichert?
  • Gibt es einen Notfallplan, wenn tatsächlich Daten verloren
    gehen, und wie sieht dieser aus?
  • Wie sind die Automatismen für Zugangskontrollen, Rechte-Hierarchien oder Backups konzipiert?
  • Arbeitet der Cloud Provider eventuell mit externen oder freien Mitarbeitern und wie sind diese rechtlich in das Unternehmen eingebunden?
  • Werden Daten tatsächlich fristgerecht gelöscht?
  • Was passiert mit den Daten bei Vertragsende?

Es empfiehlt sich demnach für Unternehmen, vor der Migration ihrer IT-Systeme in die Cloud, das Rechenzentrum des Cloud-Dienstleisters und dessen Sicherheitsmaßnahmen vor Ort selbst oder mithilfe eines externen Auditors zu überprüfen. Denn hauptverantwortlich für die Daten bleibt das Unternehmen selbst, auch wenn bei Datenpannen, die eindeutig der Anbieter beziehungsweise Betreiber der Cloud zu verantworten hat, laut EU-Datenschutz eine Mithaftung des Anbieters besteht. Dennoch sind Unternehmen verpflichtet zu prüfen, dass der Cloud Provider die geforderten Sicherheitsvorkehrungen trifft und dafür sorgt, dass die Auftragsdatenverarbeitung vor allem von personenbezogenen Daten den Anforderungen des Datenschutzes genügt. Seriösen und kompetenten Anbietern von Cloud-Lösungen ist diese Verknüpfung bewusst und ihr Interesse, ihre Kunden über längere Zeiträume zu begleiten, in der Regel so groß, dass sie in all diesen Fragen kompetent beraten und individuell unterstützen.

Image

DevOps Ready Cloud

Zur sicheren und agilen Umsetzung von Cloud Projekten.
Geeignet für hochgradig automatisierte Projekte und für klassische Business Applikationen.

Jetzt über DevOps Private Cloud informieren!

Fazit

Es ist für Unternehmen in jedem Fall machbar, Compliance auch in der Cloud zu realisieren. Auf dem Weg zu einer erfolgreichen Umsetzung ist die Unterstützung eines guten Cloud Providers von Vorteil. In diesem Zusammenhang empfiehlt es sich allerdings, den Cloud Provider per externem Audit zu überprüfen.

, , , , ,

Sie möchten keinen Beitrag verpassen?

Es gibt einen Newsletter. Hier können Sie ihn abonnieren.

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Werkzeuge Analyse Public Cloud Anbieter

Cloud

AWS, Azure oder Google Cloud?

AWS, Azure oder Google Cloud - Eine ausführliche Analyse der Public-Cloud-Anbieter aus Management-Sicht

weiter lesen

Trendumfrage – wichtigste IT-Themen 2015

Biz & Trends, Cloud, IT Security

Trendumfrage – wichtigste IT-Themen 2015

Cloud Computing liegt vorne, dann folgen IT-Sicherheit und Big Data. Industrie 4.0 wird wichtiger.

weiter lesen

Wie deutsche Unternehmen die Hybrid Cloud für sich entdecken

Cloud

Wie deutsche Unternehmen die Hybrid Cloud für sich entdecken

Nachfrage nach hybriden Clouds beim Mittelstand steigt. Security ist dabei die wichtigste Herausforderung.

weiter lesen


Neueste Nachrichten von Adacor

Biz & Trends

Apps im Test: So gelingt das perfekte Workout

Mit Fitness-Apps trainieren Sie nach einem stressigen Tag im Büro wann und wo Sie wollen.

weiter lesen

Hosting

Storage Migration: Wenn Daten umziehen müssen

Der Austausch von Storage Solutions kann zu einer echten Herausforderung werden. So gelingt sie optimal.

weiter lesen

Biz & Trends

Mit Growth Hacking durchstarten

Mehr Mindset als Prozess: Growth Hacking unterstützt Unternehmen dabei Aufmerksamkeit zu generieren.

weiter lesen