Cloud-Sicherheit und Cloud-Compliance

Compliance in der Cloud: Darauf müssen Unternehmen achten

14.03.2016 von Jürgen Mauerer
Firmen, die ihre Daten nach außen geben, müssen ihrem Cloud-Anbieter vertrauen - und dafür sorgen, dass sie und auch ihr Cloud-Provider alle technischen, rechtlichen und vertraglichen Anforderungen einhalten. Wir zeigen, worauf Unternehmen auf dem Weg zur Cloud-Compliance achten sollten.
An der Cloud kommt kein Unternehmen mehr vorbei. Doch auch in der Cloud sind Compliance-Vorgaben einzuhalten.
Foto: Mathias Rosenthal - shutterstock.com

An der Cloud kommt künftig kein Unternehmen mehr vorbei. Die Vorteile liegen auf der Hand: Das Auslagern von Daten und Anwendungen in die Cloud verspricht höhere Flexibilität, niedrigere Kosten sowie minimalen Administrationsaufwand. Auf der anderen Seite verlieren Unternehmen beim Cloud Computing jedoch die Hoheit über ihre Daten und vertrauen sie dem externen Cloud-Provider an.

Bei wenig kritischen Anwendungen etwa zur Collaboration oder Kommunikation mag dies kein Problem sein. Wie aber sieht es mit geschäftskritischen Applikationen etwa aus dem ERP-System oder Daten aus der Entwicklungsabteilung aus? Denn auch wenn die Daten beim Cloud-Provider liegen, bleibt der Nutzer von Cloud-Diensten für die Sicherheit seiner Daten und die Einhaltung von Compliance-Anforderungen verantwortlich. Wie also gewährleisten Unternehmen, dass sie die Cloud-Compliance bewahren?

Basis: Kategorisierung der Daten

Der Kunde bleibt verantwortlich für die Daten. Daher ist er verpflichtet zu prüfen, dass der Cloud-Provider die geforderten Sicherheitsvorkehrungen trifft, mahnt Arno van Züren, Compliance-Experte bei Trend Micro.
Foto: Trend Micro

Bevor Unternehmen in die Cloud gehen, müssen sie ihre Hausaufgaben machen und ihre eigenen Compliance-Vorgaben definieren. "Zentral ist dabei die Kategorisierung der Daten nach ihrer Bedeutung: Welche Daten sind unkritisch? Welche Daten sind kritisch? Welche Daten unterliegen welchen gesetzlichen Anforderungen?", erläutert Karsten Leclerque, Principal Consultant Outsourcing & Cloud bei Pierre Audoin Consultants (PAC). Die Antwort auf diese Fragen hängt auch von der Branche des jeweiligen Unternehmens ab, da beispielsweise Medizin und Finanzen besondere gesetzliche oder auch unternehmensinterne Vorgaben haben.

Eine weitere wichtige Rolle spielt laut Leclerque das Cloud-Modell, das Unternehmen für ihre jeweilige Anwendung wählen. Handelt es sich um eine Public Cloud, Hosted Private Cloud (Dedizierte Server im Rechenzentrum des Providers) oder eine Managed Private Cloud (Server im Rechenzentrum des Kunden wird von externem Dienstleister verwaltet)? "In der Praxis haben wir es meist mit hybriden Modellen und unterschiedlich verteilten Workloads zu tun. Grundsätzlich gilt: Je wichtiger die Daten, desto stärker müssen die Schutzmaßnahmen sein", so Leclerque.

Auch Arno van Züren, Compliance-Experte bei Trend Micro, sieht die Klassifizierung von Daten als Grundlage für die Risikobewertung an. Ihm zufolge müssen Unternehmen folgende Fragen beantworten: "Welche Daten müssen absolut sicher sein? Was würde passieren, wenn mir Informationen zu geschäftskritischen Unternehmensprozessen, Alleinstellungsmerkmalen oder Entwicklungsplänen gestohlen werden?" Diese Fragen sei unabhängig davon, ob die Daten im eigenen Rechenzentrum oder in der Cloud liegen. "Die rechtlichen und unternehmensinternen Vorgaben bleiben gleich, auch die Sicherheitsmechanismen sind identisch", so van Züren.

Geobasierte Compliance

Bei der Wahl des Cloud-Partners sollten alle Beteiligten in die Entscheidung einbezogen werden.
Foto: Melpomene - shutterstock.com

Bei der Wahl des richtigen Providers sollten grundsätzlich alle beteiligten Parteien im Unternehmen am Tisch sitzen - also Geschäftsführung, Fachabteilungen, IT, der Datenschutzbeauftragte oder der Hausjurist. Erste Orientierung für die Minimalanforderungen in Sachen Cloud-Security/-Compliance bieten etwa die Leitfäden des BSI und des BITKOM.

Eine wichtige Rolle bei der Auswahl des Providers spielen juristische Erwägungen, die eng mit dem Ort der physische Datenhaltung und Standort der IT-Systeme verknüpft sind. Anbieter aus den USA oder dem Nicht-EU-Ausland bieten dem Anwender gegebenenfalls nicht die notwendige Rechtssicherheit für Datenschutz-konforme Speicherung und Transfer kritischer Unternehmens- oder Kundendaten.

"Unternehmen sollten daher, falls notwendig, in den SLAs festlegen, dass die Daten Deutschland nicht verlassen und in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden", betont PAC-Mann Leclerque. Diese Vorgabe gilt demnach auch für die Partner und Subunternehmer des Providers sowie für den Notfall. Auch hier muss der Provider genau angeben, ob und wohin er Daten auslagert und wie die Lastverteilung zwischen den Rechenzentren abläuft. Sehr wichtig ist zudem das Wissen, wer von wo, wann und wie lange auf Daten etwa für Administrationszwecke zugreift.

"Es bringt nicht viel, wenn die Server in Deutschland stehen, aber von den USA aus verwaltet werden", gibt Leclerque zu bedenken. Dies gelte umso mehr, seit der Europäische Gerichtshof (EuGH) im Oktober 2015 das Datenschutzabkommen Safe Harbor für ungültig erklärt hat, weil dieses den Schutz personenbezogener Daten nicht ausreichend gewährleiste. "Hier herrscht im Moment eine rechtlich unklare Situation. Daher sollten Unternehmen abwägen, welche Daten betroffen sind, und sich grundsätzlich überlegen, ob sie einen Cloud-Provider wählen, dessen Headquarter in den USA sitzt. US-Unternehmen haben aber erkannt, dass deutsche Unternehmen großen Wert auf lokale Infrastrukturen legen", sagt Leclerque.

Transparenz und Kontrolle

Darüber hinaus benötigen die Kunden transparente Informationen über die Sicherheitskonzeption des Cloud-Providers. Dieser sollte beispielsweise auf folgende Fragen detailliert antworten:

Es empfiehlt sich, den Cloud Provider per externem Audit zu überprüfen.
Foto: Dusit - shutterstock.com

"Firmen sollten in monatlichen Abständen Sicherheitsreports mit Protokollen und Prüfberichten anfordern, die das Sicherheitsniveau und den Reifegrad des Cloud-Services anzeigen", rät van Züren von Trend Micro. Er empfiehlt den Unternehmen, vor dem Outsourcing ihrer Daten das Rechenzentrum des Providers und dessen Sicherheitsmaßnahmen vor Ort selbst oder mit Hilfe eines externen Auditors zu überprüfen. "Der Kunde bleibt verantwortlich für die Daten. Daher ist er verpflichtet zu prüfen, dass der Cloud-Provider die geforderten Sicherheitsvorkehrungen trifft und dafür sorgt, dass die Auftragsdatenverarbeitung vor allem personenbezogener Daten den Anforderungen des Datenschutzes genügt."

Zertifikate verlangen

Unternehmen sollten falls notwendig in den SLAs festlegen, dass die Daten Deutschland nicht verlassen und in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden, rät Karsten Leclerque, Principal Consultant Outsourcing & Cloud bei Pierre Audoin Consultants (PAC).
Foto: Pierre Audoin Consultants

Findet diese Prüfung nicht statt, müsste der Geschäftsführer bei Verstößen persönlich haften, es sei denn, er kann dem Provider Fahrlässigkeit nachweisen. Bei der Einschätzung des von einem Provider versprochenen Sicherheitsniveaus helfen Zertifikate (zum Beispiel ISO/IEC 27001) weiter. Besitzt ein Cloud-Provider ein anerkanntes Zertifikat, reicht es aus, zu kontrollieren, dass dieses gültig ist und immer wieder erneuert wird.

Unternehmen sollten die Verträge und SLAs mit dem Cloud-Povider möglichst granular ausarbeiten, damit er die Vertraulichkeit, Verfügbarkeit und Integrität der Daten sicherstellt. Während bei Public Cloud meist standardisierte SLAs mit unterschiedlichen Abstufungen und Funktionsumfang (Gold, Silber, Bronze) zur Verfügung stehen, sind individuelle SLAs vor allem bei Hosted Private Clouds Teil der Vertragsbestimmungen. "Hier sollte aber die Kosten/Nutzen-Bilanz stimmen, sprich für eher unkritische Daten sind keine aufwändigen Kontrollmaßnahmen oder SLAs notwendig", betont van Züren.

Cloud verbessert Sicherheit und Compliance

Meist bieten die Cloud-Anbieter eine höhere Compliance als es kleinere Unternehmen selbst realisieren könnten.
Foto: Wolfilser - shutterstock.com

Da IT-Sicherheit und Compliance zum Kerngeschäft eines Cloud-Providers gehören, sollten sich vor allem kleine und mittlere Unternehmen fragen, ob sie zu den Kosten der Cloud-Lösung in der Lage wären, in ihren eigenen Rechenzentren selbst die Sicherheit für die Daten und Compliance gewährleisten zu können. "Meist ist dies nicht der Fall", stellt Leclerque fest, "die Cloud-Anbieter setzen normalerweise aktuellste Sicherheitstechnologie ein und können durch standardisierte, automatisierte Prozesse und zentrales Management zur Einhaltung der Compliance-Anforderungen beitragen." Bei branchenspezifischer Software arbeiten sie zudem meist alle steuerlichen und gesetzlichen Änderungen mit ein.

Die Cloud bietet laut Leclerque zudem völlig neue Möglichkeiten für Backup und Recovery, Archivierung sowie beim Notfall-Management (Business Continuity). Und wollen Cloud-Kunden auf Nummer Sicher gehen, können sie ergänzend Compliance- und Risk- Management-Lösungen als Software as a Service (SaaS) beziehen, die ihnen helfen, alle Compliance-Anforderungen zu erfüllen.