Regularien und Anforderungen

Compliance in der Cloud

| Autor / Redakteur: Andreas Bachmann* / Florian Karlstetter

Wie man Compliance in der Cloud erreicht.
Wie man Compliance in der Cloud erreicht. (Bild: © denisismagilov - stock.adobe.com)

Unternehmen, die ihre Anwendungen in die Cloud verlagern, müssen sich fragen, welche Regularien für sie gelten. Denn mit der Verlagerung der Daten zum Cloud Provider entbinden sie sich nicht der Verantwortung, die Sicherheit ihrer Daten und die Einhaltung von Compliance-Anforderungen zu gewährleisten. Wie also können Unternehmen dafür sorgen, dass sie die Cloud Compliance bewahren?

Cloud-Lösungen gewinnen künftig für Unternehmen deutlich an Bedeutung. Denn alle wollen die Vorteile nutzen: Das Auslagern von Daten und Anwendungen in die Cloud verspricht höhere Flexibilität, bedarfsgerechtere Kosten sowie einen überschaubaren Administrationsaufwand. Allerdings verlieren Unternehmen beim Cloud Computing die ausschließliche Hoheit über ihre Daten, sie vertrauen sie einem externen Cloud Provider an. Deshalb rücken Fragen zu Sicherheit und Compliance in der Cloud zunehmend in den Mittelpunkt.

Wichtig ist es, die Regularien zu kennen

Maßgeblich sind vor allem die Regularien zum Datenschutz, wie sie die europäische Datenschutz-Grundverordnung vorschreibt. Dementsprechend sollte an erster Stelle eine Kategorisierung der Daten stehen: Welche Daten sind unkritisch? Welche Daten sind kritisch? Welche Daten unterliegen welchen gesetzlichen Anforderungen? Völlig unabhängig davon, ob die Daten im eigenen Rechenzentrum oder in der Cloud liegen, müssen diese Fragen bei jedem IT-Projekt vorab geklärt werden. Denn die rechtlichen und unternehmensinternen Vorgaben sowie die Sicherheitsmechanismen ändern sich mit den unterschiedlichen Plattformen nicht.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) schreibt vor, dass das Management ein unternehmensweites sogenanntes Risikofrüherkennungssystem betreiben muss. Dieses gilt für alle Bereiche des digitalen Datenmanagements. Ein solches Informationssicherheits-Management kann effektiv durch ein Internes Kontrollsystem (IKS) unterstützt werden. Ein IKS besteht aus systematisch gestalteten organisatorischen Maßnahmen und Kontrollen im Unternehmen – mithilfe dieser Vorgaben wird gewährleistet, dass alle gesetzlich geforderten Richtlinien eingehalten und Schäden, die womöglich durch das eigene Personal, aber auch von böswillig agierenden Dritten verursacht werden können, abgewehrt werden.

Anforderungen unterscheiden sich nach Branche

Je nach Branche gestalten sich die Regularien für die Datensicherheit spezifisch. Für Finanzinstitute gelten die Bankaufsichtlichen Anforderungen an die IT (BAIT) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Wie die Mindestanforderungen an das Risikomanagement der Banken (MaRisk) interpretieren die BAIT die gesetzlichen Anforderungen des Paragrafen 25a Absatz 1 Satz 3 Nummer 4 und 5 Kreditwesengesetz (KWG). Dort ist nachzulesen, was die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unter einer angemessenen technisch-organisatorischen Ausstattung von IT-Systemen und entsprechenden Notfallkonzepten für den Fall einer Störung versteht. Da Finanzdienstleister zunehmend IT-Dienstleistungen von Dritten beziehen, erläutert Paragraf 25b des Gesetzes ausdrücklich, was bei solchen Konstellationen zu berücksichtigen ist.

Die Automobilbranche orientiert sich an den Empfehlungen des Verbands der deutschen Automobilbranche (VDA). Seit 2005 gibt der VDA Empfehlungen zu den Anforderungen der Informationssicherheit für Unternehmen der Automobilindustrie heraus, die unter anderem als Leitfaden für die Zertifizierungen nach ISO 27001 und ISO 27002 dienen. 2017 wurde dieser Katalog um weitere Kontrollelemente zur Nutzung von Cloud-Diensten oder für die Kooperation mit Cloud-Dienstleistern erweitert.

Unternehmen, die kritische Infrastrukturen betreiben, unterliegen ebenfalls besonderen Regularien, festgelegt im IT-Sicherheitsgesetz. In Deutschland werden Organisationen und Einrichtungen aus den Bereichen Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur zu den Kritischen Infrastrukturen gezählt.

Eine weitere Branche, die besonderen Anforderungen unterliegt, ist das Gesundheitswesen. Schon lange ist das Thema der IT- und Datensicherheit nicht mehr nur auf den Bereich der Verwaltung beschränkt. Die Digitalisierung in der Medizin schreitet voran, sodass inzwischen auch im klinischen und im Laborbereich die Verfügbarkeit und Sicherheit von Daten eine wichtige Rolle spielt.

Kontrollziele ableiten und -systeme etablieren

Die Regularien sind also bekannt. Daraus lassen sich Kontrollziele ableiten und Kontrollsysteme implementieren. Das ist der erste Schritt, den Unternehmen gehen sollten, wenn sie ihre Cloud-Lösungen compliance-gerecht umsetzen wollen.

Schritt zwei ist die exakte Definition der Schnittstellen beziehungsweise der Abgrenzung zwischen Unternehmen und Cloud Provider. Um den richtigen Provider auszuwählen, sollten alle relevanten Teams eines Unternehmens (Geschäftsführung, Fachabteilungen, IT, Datenschutzbeauftragte oder Juristen) gemeinsam einen Leitfaden entwickeln. Orientierung für die Kriterien können die Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bitkom geben. Hilfreich ist es zudem, in Service Level Agreements (SLAs) festzulegen, dass die Daten Deutschland nicht verlassen und in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden dürfen. Die Schnittstellendefinition dokumentiert auch, wer von wo, wann und wie lange auf Daten zum Beispiel für Administrationszwecke zugreift.

Kooperationspartner intensiv prüfen

Schritt drei beinhaltet das Prüfen von Testaten, Maßnahmen und Zertifizierungen bezogen auf die Schnittstellen. Dies gelingt nur, wenn Unternehmen transparente Informationen über die Sicherheitskonzeption ihres Cloud Providers erhalten.

Dabei sollten folgende Fragen geklärt werden:

  • Wo werden die Daten abgelegt und wie sind die Datenkanäle abgesichert?
  • Gibt es einen Notfallplan, wenn tatsächlich Daten verloren gehen, und wie sieht dieser aus?
  • Wie sind die Automatismen für Zugangskontrollen, Rechte-Hierarchien oder Backups konzipiert?
  • Arbeitet der Cloud Provider eventuell mit externen oder freien Mitarbeitern und wie sind diese rechtlich in das Unternehmen eingebunden?
  • Werden Daten tatsächlich fristgerecht gelöscht?
  • Was passiert mit den Daten bei Vertragsende?

Es empfiehlt sich demnach für Unternehmen, vor der Migration ihrer IT-Systeme in die Cloud, das Rechenzentrum des Cloud-Dienstleisters und dessen Sicherheitsmaßnahmen vor Ort selbst oder mithilfe eines externen Auditors zu überprüfen. Denn hauptverantwortlich für die Daten bleibt das Unternehmen selbst, auch wenn bei Datenpannen, die eindeutig der Anbieter beziehungsweise Betreiber der Cloud zu verantworten hat, laut EU-Datenschutz eine Mithaftung des Anbieters besteht.

Dennoch sind Unternehmen verpflichtet zu prüfen, dass der Cloud Provider die geforderten Sicherheitsvorkehrungen trifft und dafür sorgt, dass die Auftragsdatenverarbeitung vor allem von personenbezogenen Daten den Anforderungen des Datenschutzes genügt. Seriösen und kompetenten Anbietern von Cloud-Lösungen ist diese Verknüpfung bewusst und ihr Interesse, ihre Kunden über längere Zeiträume zu begleiten, in der Regel so groß, dass sie in all diesen Fragen kompetent beraten und individuell unterstützen.

Fazit

Anreas Bachmann, CIO bei adacor Hosting.
Anreas Bachmann, CIO bei adacor Hosting. (Bild: ADACOR Hosting)

Es ist für Unternehmen in jedem Fall machbar, Compliance auch in der Cloud zu realisieren. Auf dem Weg zu einer erfolgreichen Umsetzung ist die Unterstützung eines guten Cloud Providers von Vorteil. In diesem Zusammenhang empfiehlt es sich allerdings, den Cloud Provider per externem Audit zu überprüfen.

Der Autor: Andreas Bachmann ist Mitgründer der Adacor Hosting. Er bekleidet die Funktion des Chief Information Officer. Als Geschäftsführer verantwortet er die Bereiche Softwareentwicklung, Marketing, Datenschutz und Compliance. In seinen Beiträgen beschäftigt er sich mit Datensicherheit und IT-Security. Weitere Schwerpunkte sind wichtige Methoden strategischer Managementführung und die Erfahrungen bei der Umsetzung damit einhergehender Prozessanpassungen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45615994 / Compliance und Datenschutz )