Cloud Computing und Compliance

19. Dezember 2011 | Von | Kategorie: Analysen, Featured Articles

Vor allem mittelständische Unternehmen sind mit der Einhaltung der Vielzahl von Compliance-Vorschriften überfordert. Cloud Computing kann Abhilfe schaffen, wenn die Datenbearbeitung in einem hoch sicheren und zertifizierten Rechenzentrum eines Service-Providers erfolgt. (Bild: Gerd Altmann / Pixelio.de)

Cloud Computing ist mehr als ein “Hype”. Laut einer Studie von IDC arbeiten derzeit rund 70 Prozent der deutschen Unternehmen an einer Cloud-Strategie. An die 29 Prozent wollen Cloud Services in so vielen Bereichen wie möglich nutzen. Dies ist nicht verwunderlich, bieten Cloud Services doch dem Nutzer die Chance, IT-Leistung nach Bedarf zu ordern, und das zu klar kalkulierbaren Kosten.

Das gilt nicht nur für Angebote wie Rechenleistung und Speicherplatz (Infrastructure as a Service) oder Anwendungen (Software as a Service). Es lassen sich auch komplette Arbeitsplatzumgebungen in die Cloud zu verlagern und aus dem Rechenzentrum eines Service-Providers zu beziehen – als Desktop as a Service.

Wie die IDC-Studie ergab, sehen jedoch 24 Prozent der Firmen in Deutschland durch Cloud Computing höhere Anforderungen in Bezug auf Compliance auf sich zurollen. Dies ist nicht verwunderlich, denn wenn Unternehmensdaten auf IT-Systemen eine Cloud-Service-Providers gespeichert oder verarbeitet werden, wirft das Fragen in Bezug auf die Datensicherheit und den Schutz vertraulicher Informationen auf.

Unternehmen müssen eine Flut von gesetzlichen, nichtgesetzlichen und branchenspezifischen Compliance-Vorgaben beachten. (Bild: Deloitte)

Auftraggeber ist für Datenschutz verantwortlich

In einer Analyse der Chancen und Risiken von Cloud Computing weist die European Network and Information Security Agency (Enisa), eine Einrichtung der EU, explizit darauf hin, dass potenzielle Nutzer von Cloud-Diensten den Aspekt Compliance nicht außer Acht lassen dürfen. Ein zentraler Punkt ist laut der Enisa, dass ein Cloud-Service-Provider in der Lage sein muss, seine Dienstleistungen auf die Compliance-Anforderungen des Kunden abzustimmen.

Ist ein Unternehmen beispielsweise im Gesundheitswesen oder Finanzsektor tätig, gelten branchenspezifische Vorgaben wie etwa das Health Insurance and Accountability Act (HIPAA) oder der Payment Card Industry Data Security Standard (PCI DSS). Damit verbunden sind spezielle Anforderungen in Bezug auf die Datensicherheit, etwa den Schutz von Kundendaten oder Kreditkarteninformationen.

Wer Cloud-Computing-Dienste nutzt, delegiert damit nicht die Verantwortung für den Schutz der Daten an den Dienstleister. So ist beispielsweise laut § 11 des Bundesdatenschutzgesetzes (BSDG) der Nutzer weiterhin für die Rechtmäßigkeit der Datenverarbeitung im Rahmen der Nutzung des Dienstes verantwortlich. Er darf also Daten, etwa personenbezogene Informationen, vom Service-Provider nur im selben Maße verarbeiten lassen, wie er dies auch selbst tun dürfte. Das gilt übrigens auch für Tests von Cloud-Services. Dafür sollte der Nutzer deshalb nur “Dummy-Daten” heranziehen.

Cloud-Service-Provider wie Pironet NDH stellen komplette Desktop-Umgebungen im Rahmen eines Cloud-Services bereit. Wichtig ist bei solchen Angeboten, dass die in Deutschland geltenden Datenschutzbestimmungen und Compliance-Vorgaben lückenlos erfüllt werden – vom Anbieter wie auch vom Nutzer. (Bild: Pironet NDH)

Sich selbst ein Bild vom Service-Provider machen

Der Cloud-Service-Provider wiederum muss dasselbe Datenschutzniveau bieten wie der Auftraggeber. Allerdings darf er die ihm übergebenen Daten nicht ohne Zustimmung des Auftraggebers nutzen oder weitergeben. Zudem muss sich der Auftraggeber, also Nutzer von Cloud-Services, regelmäßig selbst ein Bild von den technischen und organisatorischen Maßnahmen machen, mit denen der Service-Provider den Schutz von Daten seiner Kunden und die Einhaltung von Compliance-Vorgaben sicherstellt.

Dies ist ein heikler Punkt, wie Rechtsanwalt Carsten Gerlach von der Berliner Kanzlei TCI in einem Beitrag im Weblog der Kanzlei moniert: “Bei der Auswahl und Prüfung eines Cloud-Computing-Anbieters sollte der Kunde nicht nur das Vorlegen von Zertifizierungen ‘abhaken’, sondern auch den Inhalt der Zertifizierung und die tatsächlichen Verhältnisse prüfen.” Der Grund ist, dass sich etliche Service-Provider mit Zertifikaten schmücken, es aber “übersehen”, sich regelmäßig neu zertifizieren zu lassen.

Ein Kriterium, das laut dem Bundesamt für Sicherheit in der Informationstechnik ein Cloud-Service-Provider erfüllen muss, ist ein ausgefeiltes Sicherheitsmanagement. Dies gilt für Basisdienste, aber auch für Cloud-Dienste, die gehobenen Anforderungen in Bezug auf die Vertraulichkeit (C+) und Verfügbarkeit (A+) gerecht werden müssen. (Quelle: BSI)

Seriöse Anbieter führen Audits durch

Seriöse Anbieter, wie beispielsweise Pironet NDH, lassen dagegen regelmäßig von unabhängigen Prüfern Audits durchführen. Sicherheitsnormen wie etwa die ISO 27001 oder die Zertifizierung gemäß EuroCloud Star Audit SaaS setzen dieses Prozedere zwingend voraus. Die entsprechenden Berichte sollten dem Cloud-Nutzer auf dessen Wunsch zur Verfügung gestellt werden.

Die Zertifizierung gemäß ISO 27001 dokumentiert alle organisatorischen Vorkehrungen im Umgang mit der Informationssicherheit und bedeutet für Kunden, dass der Provider klar definierte Regeln einhält. Unter dem Strich heißt das für den Nutzer, dass der Provider – und damit auch er selbst – Vorschriften einhält, wie sie sich beispielsweise aus den gesetzlichen Vorgaben zur Auftragsdatenverarbeitung oder auch aus Standards wie SAS 70 oder SSAE 16 ergeben.

Problematisch ist, wenn ein Cloud-Service-Provider weder nachweisen kann, dass er regelmäßig von neutralen Instanzen Audits durchführen lässt noch dem Kunden das Recht einräumt, sich selbst ein Bild von den Sicherheits- und Compliance-Vorkehrungen zu machen, die er trifft. In diesem Fall gilt für den Anwender: “Finger weg!”.

Vorsicht beim Blick über die Landesgrenze

Vorsicht ist aus Gründen des Datenschutzes und der Compliance geboten, wenn ein Cloud-Service-Provider mit Sitz im Ausland ins Spiel kommt. Denn laut Bundesdatenschutzgesetz ist es zwar zulässig, dass ein Nutzer von Cloud-Services Unternehmensdaten an seinen Service-Provider übermittelt. Das gilt jedoch nur für Cloud-Service-Anbieter, die ihren Sitz in der EU oder dem Europäischen Wirtschaftraum (EWR) haben (siehe § 3 Abs. 8 S. 3 BDSG).

Wird ein Anbieter mit Sitz in einem anderen Land beauftragt, müssen zusätzliche Anforderungen erfüllt werden, damit eine Übertragung von Daten in einen solchen Drittstaat erfolgen darf. Zwar hat die EU für diesen Fall einen Standardvertrag erarbeitet (Standard Contract Clauses für Data Processing), jedoch muss er um Vorgaben aus dem Bundesdatenschutzgesetz (§ 11 Abs. 2 BDSG) ergänzt werden. Das macht das Aufsetzen eines solchen Vertrages kompliziert. Der einfachere Weg besteht darin, auf Cloud-Service-Provider aus Deutschland oder zumindest der Europäischen Union zurückzugreifen.

Dies ist auch aus einem weiteren Grund zu empfehlen: Das in den USA gültige Patriot Act (Heimatschutzgesetz) räumt amerikanischen Behörden das Recht ein, von US-Firmen die Herausgabe von Kundendaten zu verlangen. Das gilt auch für die Daten, die ein amerikanischer Service-Provider in einem Rechenzentrum in Deutschland oder einen anderen EU-Land speichert.

Cloud Computing unterstützt Einhaltung von Compliance

Ein Aspekt wird in der Diskussion um Cloud und Compliance häufig übersehen: Unternehmen, die IT-Services aus der “Wolke” beziehen, profitieren davon auch in Bezug auf die Einhaltung von Compliance-Vorgaben. Denn speziell kleinere und mittelständische Unternehmen sind oft damit überfordert, angesichts des Wusts von Gesetzen, Verordnungen und Regelwerken wie Basel II, EuroSox und Co. den Überblick zu bewahren. Zudem können sich viele Mittelständler keinen Compliance-Fachmann oder gar einen “Chief Compliance Officer” leisten. Dies bleibt Großunternehmen vorbehalten.

Dagegen verfügt ein Anbieter von Cloud-Services meist nicht nur über Rechenzentren mit besserer Ausstattung und einem höherem Sicherheitsniveau. Er weist in der Regel auch eine höhere Kompetenz in Bezug auf Datenschutz- und Compliance-Regeln auf, alleine deshalb, weil darauf sein Geschäft beruht: Sicherheitsprobleme oder gar Datenverluste kann sich ein Service-Provider nicht leisten, will er nicht seinen guten Ruf riskieren und Kunden verlieren.

Den geeigneten Cloud-Service-Provider finden

Fazit: Wer einen Cloud-Computing-Dienst nur anhand des Service-Portfolios oder des günstigen Preises auswählt, handelt fahrlässig. Ein Anbieter von Cloud-Services muss sicherstellen, dass alle Compliance-Vorgaben seines Kunden erfüllt werden. Dieser sollte daher prüfen, ob der Service-Provider folgende Vorgaben erfüllt:

Branchenspezifika berücksichtigen: Rechtliche Vorgaben müssen je nach Branche, in der ein Cloud-Computing-Nutzer aktiv ist, im Vertrag berücksichtigt werden. Der Provider sollte in der Lage sein, diese branchenspezifischen Compliance-Regeln in der Praxis einzuhalten.

Risikobewertung: Jeder Auslagerung von Daten und Services in die Cloud sollte eine Risikobewertung vorangehen, so die Empfehlung der Wirtschaftsprüfungsgesellschaft Deloitte. Diese schließt eine Bewertung des Service-Providers mit ein, inklusive von Sicherheitsvorkehrungen, Notfall-Plänen und der Schulung des Personals in Bezug auf Compliance- und Datenschutzregeln.

Anbieter mit Sitz in Deutschland oder der EU: Nur ein solcher Cloud-Service-Provider kann sicherstellen, dass er die in Deutschland oder innerhalb der EU geltenden rechtlichen Bestimmungen erfüllt. Das gilt für datenschutzrechtliche Bestimmungen, aber auch für Compliance-Regeln, die unter anderem in Basel II und III, EuroSox und vergleichbaren Rahmenwerken festgelegt sind.

Sicherheitszertifikate: IT-Sicherheitszertifikate wie ISO 27001, EuroCloud Star Audit SaaS und das BSI-Grundschutz-Zertifikat sind ein Indiz dafür, dass ein Cloud-Computing-Anbieter IT-Sicherheitsanforderungen erfüllt. Dennoch sollte ein Interessent prüfen, ob ein Service-Provider diese Zertifikate regelmäßig erneuert. Empfehlenswert ist außerdem, dass sich der Kunde regelmäßig selbst vor Ort bei dem Anbieter ein Bild davon macht, wie es um die Umsetzung von Sicherheits- und Compliance-Vorgaben bestellt ist.

Compliance-Zertifikate: Unternehmen, welche die Auflagen von SOX (Sarbanes-Oxley Act) erfüllen müssen, sollten einen Cloud-Service-Provider wählen, der ein SAS-70-Typ-II-Zertifikat besitzt. Es stellt sicher, dass der Provider Finanzdaten des Kunden richtig und vollständig verarbeitet, und dies mit den entsprechend dafür ausgelegten IT-Prozessen.

Renommierte Auditoren: Ab und zu stellen Auditoren einem Service-Provider ein Gefälligkeitsgutachten aus, damit dieser ein Zertifikat erhält. Solche Testate sind wertlos. Daher prüfen, auf welche Auditoren ein Cloud-Service-Provider zurückgreift und ob diese in der Branche einen guten Ruf haben.

Passende Kundenstruktur: Anbieter von Cloud-Angeboten, die vorzugsweise Großunternehmen bedienen, haben häufig kein Gespür für die speziellen Anforderungen von mittelständischen und kleineren Firmen. Sie gehen beispielsweise oft davon aus, dass beim Kunden Compliance-Beauftrage und entsprechende Kontrollmechanismen etabliert sind. Anbieter, die auf mittelständische Kunden spezialisiert sind, können dagegen besser auf deren spezifischen Anforderungen in Bezug auf Datenschutz und Compliance eingehen.

Tags: , ,

Schreibe einen Kommentar