Cloud Compliance

Geringere Kosten und mehr Flexibilität. Cloud-Computing-Anbieter versprechen eine Reduktion der Komplexität bei gleichzeitiger Steigerung der Skalierbarkeit der angebotenen Services. Bei CIOs herrscht starkes Interesse an Cloud-Services, gepaart mit einer Portion Skepsis über die Einhaltung der Compliance-Anforderungen und den Aspekten der IT-Sicherheit. Genau bei diesen beiden Punkten herrscht eine große Verunsicherung, einen Service den man bisher selbst betrieben hat, in die Wolke auszulagern.

Die IT-Compliance hat den Auftrag alle relevanten gesetzlichen Anforderungen und die internen Vorgaben wie z.B. Passwortsicherheit, Datenschutz oder Notfallvorsorge sicherzustellen. In den letzten Jahren hat das IT-Outsourcing bereits für eine Aufspaltung der Lieferkette gesorgt. Kaum ein Unternehmen betreibt alle Komponenten selbst. Mittlerweile werden Rechenzentrumsdienste, Telefonie, Internetauftritt oder die Betreuung der Firmen Desktops von verschieden Lieferanten betreut. Mit Cloud-Services kommen weitere Lieferanten hinzu. Das Sourcingumfeld wird für Unternehmen komplexer, neue Technologien, Prozesspartner und Vertragsabhängigkeiten kommen hinzu.

Um die IT-Compliance bei Cloud-Services sicherzustellen, muss das Unternehmen zuerst ein paar Hausaufgaben erledigen. Je nachdem welcher Service bezogen werden soll (SaaS, IaaS, PaaS), müssen die IT-Compliance Vorgaben im Vorfeld exakt analysiert werden. Diese haben erheblichen Einfluss auf die technische Machbarkeit der Services und die Vertragsgestaltung mit dem Cloud-Anbieter. Werden kritische Daten wie Unternehmensdaten oder Kundendaten mit Personenbezug in der Wolke gespeichert oder Verarbeitet, so sind zwingend die Aspekte des Bundesdatenschutzgesetzes (BDSG) in technischer sowie vertaglicher Hinsicht in die Lösung zu integrieren. Dies gilt auch für die Verträge die das Unternehmen mit seinen Kunden hat. Diese sind zu informieren, das einen neue datenverarbeitende Stelle einen Service erbringt. Gleiches gilt je nach Cloud-Service für weitere gesetzliche Anforderungen wie das HGB, die Abgabenordnung, MaRisk für Finanzdienstleister oder die GOBs (Grundsätze ordnungsgemäßer Buchführung in Systemen). Dies sind nur einige wenige regulatorische Vorgaben. Wichtig ist dass diese nicht nur die technische Lösung betreffen sondern ebenfalls Anforderungen an die Prozesse, das Reporting oder die Dokumentation stellen.

Für die Einhaltung der IT-Compliance bei Cloud-Services empfiehlt sich folgende Vorgehensweise:

● Exakte Analyse der IT-Compliance-Vorgaben durch einen Spezialisten. Die Analyse bezieht dabei die Rechtsform des Unternehmens, Branche (z.B. Finanzdienstleiser) sowie die Art des Cloud-Services ein.

● Festlegung der IT-Compliance-Vorgaben bez. der Anforderungen an die technische Lösung, Verträge und Prozesse inkl. des Reportings und Dokumentation.

● Auswahl eines Cloud-Service-Anbieters auf Basis der erarbeiteten Vorgaben

● Implementierung des Cloud-Services mit Begleitung des IT-Compliance Managements.

● Regelmäßige Kontrolle der Einhaltung der IT-Compliance-Vorgaben

Die Frage ob man die IT-Services aus der Public Cloud oder Private Cloud beziehen soll, lässt sich zuverlässig erst nach der oben skizzierten Analyse beantworten. Dies gilt auch für die Aspekte der Datenhaltung und Verarbeitung (Deutschland, EU-Wirtschaftsraum, USA, etc.) sowie für die Themen IT-Sicherheit und Business Continuity und ob der Cloud-Anbieter einen Gerichtsstand in Deutschland hat.

Letztendlich stellt das Cloud-Computing eine Erweiterung der Sourcingstrategie des Unternehmens dar. Insofern sind natürlich die Aspekte der IT-Governance und des Risk-Managements ebenso betroffen. Die Vorteile des Cloud-Computings bezüglich Skalierbarkeit der Services, Verfügbarkeit, Performance und damit einhergehend der anfallenden Kosten lassen, sich nur durch eine exakte Betrachtung der IT-Compliance realisieren. Jede neue Technologie bringt auch Risiken mit sich. IT-Compliance sorgt dafür dass sich Vertraulichkeit, Integrität, Verfügbarkeit und Rechtssicherheit der Cloud-Service geplant und strategisch zum Vorteil des Unternehmens einsetzen lassen.