Cloud Compliance

Einhaltung der Cloud-Richtlinien

Die AWS bietet auditfreundliche Dienstleistungen für PCI, ISO, SOC und andere Compliance-Standards. Das eBook stellt gesetzliche Anforderungen an die Cloud dar, informiert über Cloud-Initiativen und einen Weg zu internationalen Cloud-Standards. Cloud Security und Cloud Compliance: Compliance in der Cloud: Was Sie sich wünschen können

Kein anderes Unter-nehmen wird in Zukunft auf die Cloud verzichten können. Der Vorteil liegt auf der Hand: Die Auslagerung von Dateien und Applikationen in die Cloud versprechen mehr FlexibilitÃ?t, geringere GeschÃ?ftskosten und geringstmöglichen Verwaltungsaufwand. Cloud Computing hingegen bedeutet, dass Firmen die Kontrolle über ihre eigenen Informationen verliert und diese an den unabhängigen Cloud-Provider weitergibt.

Dies ist möglicherweise kein Hindernis für weniger kritische Anwendungsbereiche wie Zusammenarbeit oder Telekommunikation. Aber was ist mit unternehmenskritischen Bewerbungen aus dem ERP-System oder mit Informationen aus der Entwicklung? Auch wenn die Informationen beim Cloud-Anbieter vorliegen, ist der Benutzer von Cloud-Diensten für die Sicherung seiner Informationen und die Erfüllung der Anforderungen zuständig.

Und wie stellen Sie sicher, dass Sie die Einhaltung der Cloud-Compliance einhalten? Vor dem Einstieg in die Cloud müssen Firmen ihre eigenen Aufgaben erledigen und ihre eigenen Compliance-Anforderungen aufstellen. "Die Klassifizierung der Informationen nach ihrer Aussagekraft ist zentral: Welche Informationen sind aussagekräftig? Was sind die kritischen Informationen? Für welche Angaben gelten welche rechtlichen Vorgaben? "erklärt Karsten Leclerque, Principal Consultant Outsourcing & Cloud bei Pierre Audoin Consultants (PAC).

Arno van Züren, Compliance-Experte bei Trend Micro, betrachtet auch die Klassifikation von Informationen als Basis für die Risikobeurteilung. Nach seinen Worten müssen Firmen folgende Fragestellungen beantworten: "Welche Informationen müssen unbedingt geschützt sein? "Diese Fragestellungen sind unabhÃ?ngig davon, ob die Informationen im unternehmenseigenen Datacenter oder in der Cloud gespeichert sind. Dabei sollten bei der Auswahl des geeigneten Anbieters alle am Betrieb Beteiligte am selben Ort zusammenkommen - also Management, Fachbereiche, Informatik, der Beauftragte für den Datenschutz oder der Hausanwalt.

Die Richtlinien von BSI und BITKOM beispielsweise geben eine erste Orientierungshilfe für die Mindestanforderungen an Cloud Security/Compliance. Einig waren sich die Beteiligten der CIO Soirée, dass es heute ohne Cloud nicht möglich ist, und in den wenigsten FÃ?llen wird es mit einer einzelnen Cloud gemacht. "Deshalb sollten Firmen in den GAVs bei Bedarf angeben, dass die gesammelten Informationen Deutschland nicht verlässt und in eine andere Gegend mit weniger hohen Datenschutzanforderungen verlagert werden sollen", unterstreicht PAC-Mann Leclerque.

Hier muss der Anbieter auch exakt festlegen, ob und wo er das Outsourcing von Unternehmensdaten durchführt und wie die Lastenverteilung zwischen den einzelnen Unternehmen durchgeführt wird. Es ist auch sehr interessant zu wissen, wer von wo, wann und wie lange auf Informationen zugreifen darf, z.B. für Verwaltungszwecke. "â??Es nützt nicht viel, wenn die Servers in Deutschland angesiedelt sind, aber von den USA aus betreut werdenâ??, sagt Leclerque.

Das gilt erst recht, da der EuGH die Safe Harbor-Datenschutzvereinbarung im Okt. 2015 für unwirksam erklärte, da sie den Datenschutz nicht hinreichend gewährleistet. Deshalb sollten Firmen prüfen, welche Informationen davon beeinflusst werden und ob sie sich für einen Cloud-Provider mit Sitz in den USA entscheiden sollten.

Allerdings haben US-amerikanische Firmen anerkannt, dass die deutschen Firmen großen Einfluss auf die lokalen Strukturen haben", sagt Leclerque. Zudem brauchen die Nutzer klare Aussagen über das Sicherheitskonzept des Cloud-Providers. Inwiefern sind die Sender gesichert, wo werden die Messdaten gespeichert? Was ist das Ergebnis im Ernstfall, wenn wirklich keine Dateien mehr vorhanden sind? Von wem werden die Angaben wann und mit welchen Rechten abgerufen?

Sind beim Cloud-Anbieter Fremdmitarbeiter vorhanden? Wird die Löschung der Altdaten rechtzeitig erfolgen? Welche Auswirkungen hat dies auf die Angaben am Ende des Vertrages? "Es ist ratsam, dass Sie monatlich Sicherheitsberichte mit Protokoll und Testberichten abfragen, die den Grad der Sicherheit und Reife des Cloud-Service angeben", sagt van Züren von der Firma Trendmicro. Vor der Auslagerung ihrer Unternehmensdaten empfehlen wir, das Datenzentrum des Anbieters und die Sicherheitsvorkehrungen vor Ort selbst oder mit Unterstützung eines Wirtschaftsprüfers zu prüfen.

"Die Verantwortung für die Angaben liegt beim Kunden. Er ist daher dazu angehalten, zu überprüfen, ob der Cloud-Anbieter die erforderlichen Sicherheitsmaßnahmen ergreift und dafür Sorge trägt, dass die Verarbeitung der Auftragsdaten, insbesondere der personenbezogenen anlagen, den Erfordernissen des Bundesdatenschutzgesetzes entspricht. Verfügt ein Cloud-Anbieter über ein erkanntes Zertifkat, ist es ausreichend, seine Gültigkeit zu überprüfen und ständig zu erneuern.

Dabei sollten so detailliert wie möglich die Vereinbarungen und Vereinbarungen mit dem Cloud-Polizisten ausgearbeitet werden, damit er die Geheimhaltung, VerfÃ?gbarkeit und IntegritÃ?t der Informationen gewÃ? Obwohl in der öffentlichen Cloud in der Regel einheitliche SDBs mit verschiedenen Gradationen und Funktionsumfängen (Gold, Silber, Bronzestatement ) verfügbar sind, sind einzelne SDBs Teil der Vertragsbedingungen, insbesondere in gehosteten Private Clouds.

"Allerdings sollte hier das Kosten-Nutzen-Verhältnis stimmt, d.h. für recht ungewöhnliche Datensätze sind keine komplexen Kontrollmassnahmen oder GAVs notwendig", unterstreicht van Züren. Weil IT-Security und Compliance zum Kernbereich eines Cloud-Providers zählen, sollten sich insbesondere kleine und mittelständische Betriebe die Frage stellen, ob sie auf eigene Rechnung auf eigene Faust Datensicherheit und Compliance in ihren eigenen Datacentern garantieren können.

"Dies ist in der Regel nicht der Fall", bemerkt Leclerque, "Cloud-Anbieter verwenden in der Regel die neueste Sicherheits-Technologie und können durch standardisierte, automatisierte Abläufe und eine zentrale Verwaltung zur Erfüllung von Compliance-Anforderungen beizutragen. "Bei branchenspezifischen Softwareprodukten berücksichtigen sie in der Regel auch alle Steuer- und Gesetzesänderungen. Laut Leclerque eröffnet die Cloud auch ganz neue Einsatzmöglichkeiten für Sicherung und Wiederherstellung, Langzeitarchivierung und Notfallmanagement (Business Continuity).

Wenn Cloud-Kunden auf der sicheren Seite sein wollen, können sie zusätzlich Compliance- und Risikomanagementlösungen als Softwareservice (SaaS) erhalten, die ihnen bei der Erfüllung aller Compliance-Anforderungen ausreichen.

Mehr zum Thema