Cloud-Compliance ist die Kunst und Wissenschaft, regulatorische Standards für die Cloud-Nutzung entsprechend Branchenrichtlinien und lokalen, nationalen und internationalen Gesetzen einzuhalten. Zu diesen regulatorischen Bestimmungen gehören der Health Insurance Portability and Accountability Act (HIPAA), der Payment Card Industry Data Security Standard (PCI DSS) und der Gramm-Leach-Bliley Act (GLBA).
Sobald ein Unternehmen in der Cloud ist, sollte es klären, wie sein Cloud-Anbieter es bei der Einhaltung von Gesetzen unterstützt, z. B. der Datenschutzgrundverordnung (DSGVO) der EU oder HIPAA in den USA. Diese Diskussion sollte nicht erst dann beginnen, wenn der Cloud-Service eingerichtet ist, sondern direkt zu Beginn des Prozesses.
Manchmal finden sich Unternehmen in der Cloud wieder, bevor sie überhaupt mit der Planung einer Migration begonnen haben. Das verkompliziert die Lage. Eines der Kernthemen der Cloud ist, dass es eine Self-Service-Oberfläche geben sollte, über die Kunden Cloud-Services einfach einrichten, ändern und beenden können.
Damit ist jedoch noch nicht klar, welche Personen im Unternehmen des Kunden diese Aufgaben übernehmen. Wie sich herausstellt, könnte das heutzutage jeder sein. Eine Abteilung benötigt lediglich eine Unternehmenskreditkarte – und schon kann sie Daten zur Cloud migrieren. Dieses Phänomen ist nicht neu und nennt sich Schatten-IT. Der Begriff wird aufgrund der Merkmale der Cloud heutzutage häufig verwendet.
Cloud-Governance
Governance bedeutet die Beaufsichtigung eines Unternehmens durch leitende Führungskräfte und den Vorstand. Cloud-Governance erweitert diese Beaufsichtigung auf die Cloud. Governance hat kritische Bedeutung. Fehlt sie, gibt es zu viele unbeantwortete Fragen, etwa nach den Zielen des Unternehmens, was die Verwaltung einer Cloud und ihrer Sicherheit sehr schwierig gestaltet.
Vor einer Migration zur Cloud sollten sich Unternehmen genau überlegen, wie ihre Ziele aussehen. Die Ziele sollten sich an geltenden Gesetzen, Vorschriften und Verträgen ausrichten. Jenseits dieser juristischen Aspekte sorgt Cloud-Governance dafür, dass Mitarbeiter auf dem richtigen Weg sind und das Unternehmen beim Erreichen seiner Ziele unterstützen.
Größere Fehler können dazu führen, dass die Cloud Dinge verkompliziert und Benutzer daran hindert, ihre Arbeit zu erledigen. Fehler können ein Unternehmen sogar vor Gericht bringen. Der Vorstand und die Unternehmensleitung müssen mit Blick auf die Cloud sorgfältige Überlegungen anstellen.
Gesetze und Verordnungen
Das erste Thema jeglicher Diskussion über Compliance ist der gesetzliche Rahmen. Unternehmen und ihre Anwälte müssen sich damit auseinandersetzen, welche Gesetze zu befolgen sind. Sie müssen sich auch über die Konsequenzen einer Nichteinhaltung im Klaren sein. Sobald die Gesetze identifiziert sind, ist im nächsten Schritt zu hinterfragen, welche Sicherheitskontrollen eingerichtet werden müssen, um die geltenden Gesetze und Vorschriften einzuhalten.
Vorschriften wie die DSGVO der Europäischen Union erfordern ein hohes Maß an Sicherheit für personenbezogene Daten. Die DSGVO enthält darüber hinaus sehr spezifische Einschränkungen in Bezug auf die Orte, an denen von der Verordnung abgedeckte Daten verarbeitet und gespeichert werden können. Im Zusammenhang mit der Cloud führt dies aufgrund ihrer Funktionsweise zu einem potenziellen Problem. Die meisten Cloud-Anbieter stellen jedoch Steuerungsmaßnahmen bereit, mithilfe derer die Anforderungen der DSGVO der EU erfüllt werden können.
Verträge definieren eine formelle Vereinbarung zwischen zwei oder mehr Parteien. Schließt ein Unternehmen einen Vertrag, verpflichtet es sich dazu, die Bestimmungen dieses Vertrags einzuhalten. Wenn dies nicht geschieht, kann das schwerwiegende finanzielle Folgen haben.
Eine Organisation, die Kreditkarteninformationen verarbeitet oder speichert, hat wahrscheinlich eine Vereinbarung mit Kreditkartenunternehmen, nach der sie bestimmte Elemente des Payment Card Industry Data Security Standards (PCI-DSS) implementieren muss.
Um Kreditkarten verarbeiten zu können, schließen Unternehmen eine Vereinbarung ab, in der sie sich dazu verpflichten, die zwölf Sicherheitsanforderungen der Norm einzuhalten. Der Umfang, in dem diese Anforderungen implementiert werden müssen, hängt von der Anzahl der pro Jahr verarbeiteten Transaktionen ab.
Unternehmen sollten auch prüfen, ob die Verträge die Aktivitäten beeinflussen, die sie in der Cloud ausführen können oder nicht. Wirkt es sich auf die Compliance aus, wenn sie eine bestimmte Cloud nutzen – Public, Private, Community usw.?
Zahlreiche Unternehmen verwenden Normen wie ISO 27001 oder NIST SP 800-53 als Grundlage für die Implementierung von Sicherheitskontrollen. Wenn sich ein Unternehmen für ISO 27001 als Norm entscheidet, muss es seine Mitarbeiter schulen, damit die richtigen Kontrollen durchgeführt werden. Diese Kontrollen erstrecken sich auf die Cloud. Tatsächlich hat die ISO die Kontrollen isoliert, die für die Cloud spezifisch sind, und in ISO 27017 zusammengeführt.
Audits sind eine Möglichkeit, den Grad der Compliance mit Gesetzen, Verordnungen und Verträgen zu prüfen. Audits können intern oder extern sein. Ein interner Audit, den Auditoren des Unternehmens durchführen, bietet eine Selbsteinschätzung, um den Grad der Compliance zu bestimmen. Die Ergebnisse eines internen Audits können als verzerrt angesehen werden, da die Auditoren in ihren Schlussfolgerungen voreingenommen sein könnten.
Um eine objektivere Bewertung zu erhalten, sollten sich Unternehmen von unabhängigen externen Audit-Anbietern prüfen lassen. Im Zusammenhang mit der Cloud gilt der Fokus im Folgenden Audits, die der Cloud-Anbieter selbst durchführt.
Die meisten Cloud-Anbieter würden Kunden nicht gestatten, in ihren Rechenzentren eigene Audits durchzuführen. Eine valide Alternative ist, sich auf Audits durch unabhängige externe Audit-Anbieter zu verlassen.
Audit-Berichte
Die Ergebnisse eines Audits werden im Audit-Bericht zusammengefasst. Das American Institute of Certified Public Accountants (AICPA) hat diese Berichte standardisiert. Alle Unternehmen sollten nach dem SOC 2® Audit-Bericht fragen. Ein SOC 2® Bericht ist für Dienstleistungsunternehmen wie Cloud-Anbieter bestimmt. Er zeigt den Grad ihrer Compliance mit Kontrollen, wie sie beispielsweise in ISO 27001 oder im NIST Cybersecurity Framework (CSF) definiert sind. Die Kontrollen werden anhand der fünf Vertrauenskriterien des AICPA bewertet. Diese sind:
Diese Berichte können von Typ 1 oder von Typ 2 sein. Ein Typ-1-Bericht zeigt den Status der Steuerung zu einem bestimmten Zeitpunkt an. Darüber hinaus gibt er Auskunft darüber, ob sie in geeigneter Weise gestaltet und installiert sind. Ein Typ-2-Bericht zeigt die betriebliche Effektivität der Steuerung über einen bestimmten Zeitraum an, zum Beispiel über sechs Monate.
Cloud-Kunden sollten nach diesen Berichten fragen. Es kann jedoch vorkommen, dass der Cloud-Anbieter diese nicht zur Verfügung stellen möchte, da sie sensible Informationen zu seinem Geschäft enthalten. Eine weitere Option stellt SOC 3® dar. Diese Art von Bericht ist für allgemeine Zwecke gedacht. Er enthält nur sehr wenige Informationen über das Geschäft des Cloud-Anbieters. Er gibt dem Kunden faktisch das Gütesiegel des Auditors für den Cloud-Anbieter – oder nicht.
Weiterführende Artikel
Weiterführende Forschung