Compliance-as-a-Service erleichtert Unternehmen die Cloud-Nutzung
Datenschutz, IT-Sicherheitsgesetz und EU-Datenschutzgrundverordnung bereiten Planern hybrider Cloud-Umgebungen Kopfzerbrechen. Hinzu kommen die Besonderheiten spezieller Branchen und Länder. Gesucht sind standardisierte Wege zur sicheren Cloud-Nutzung.
Die Forderungen des Business liegen auf dem Tisch: kurzfristig neue Services, Agilität, und freie Skalierbarkeit. Hybride Cloud-Lösungen können diese Anforderungen erfüllen. Kopfschmerzen bereiten allerdings Fragen zur Sicherheit und zum Datenschutz. Das gilt besonders vor dem Hintergrund der EU Datenschutz-Grundverordnung, die in zwölf Monaten greifen wird.
Rechtsanwalt und Datenschutzbeauftragte Dr. Sebastian Kraska erklärt, warum: “Mit der EU-Datenschutzgrundverordnung wird der Bußgeldrahmen insgesamt massiv erhöht. Bislang sind bei einem Datenschutzvergehen 50 000 Euro fällig. Bei schwereren Verstößen sind es 300.000 Euro. Künftig drohen Bußgelder von zehn oder 20 Millionen Euro, alternativ zwei oder vier Prozent des globalen Konzernumsatzes, je nachdem, was höher ist.”
Kein Wunder also, dass Sicherheits- und Compliance-Bedenken weiterhin ein Haupthindernis auf dem Weg in die Cloud darstellen. Das belegen Umfragen wie der Bitkom Cloud Monitor (PDF) immer wieder.
Abwarten und Nichtstun ist für Experten wie Thomas Doms, Principal Consultant, TÜV TRUST IT GmbH, keine Lösung. Er betont: “Etwas bedenken heißt ja eigentlich, sich Gedanken machen – und nicht nur Befürchtungen zu äußern, wie wir es häufig beim Thema Compliance und Cloud-Nutzung sehen.” Sicherheitsvorfälle wie die jüngsten WannaCry-Attacken lassen jedoch in manchen Firmen die ideologisch geführten Debatten um Nutzen und Risiken der Cloud neu aufflammen.
Sebastian Kraska, Rechtsanwalt mit Schwerpunkt IT-Recht und Datenschutzbeauftragter, empfiehlt Unternehmen einen pragmatischen Umgang mit dem Thema: “IT-Sicherheit ist immer eine Herausforderung – nicht nur in der Cloud. Aber wenn man in die Cloud geht, muss man natürlich nicht nur überlegen, wie man das macht, sondern auch, welche Folgen es für die Compliance des Unternehmens hat. Und zwar im Hinblick auf Datenschutzrecht, IT-Sicherheit und generelle Geheimhaltung.” Rechtliche Mittel wie die sorgfältige Formulierung der Verträge mit den Cloud-Providern seien dabei ebenso wichtig wie technische Lösungen zu ihrer Umsetzung und Kontrolle.
Mit fünf Fragen strukturiert vorgehen
Thorsten Pelka, Geschäftsführer des Hamburger IT-Dienstleisters networks direkt, eines Unternehmens der direkt gruppe, hat in der Zusammenarbeit mit Partnern und Kunden die Erfahrung gemacht: “Mit dem richtigen Vorgehen sind Cloud und Compliance viel einfacher und schneller vereinbar, als den meisten Unternehmen bewusst ist.” Konkret empfiehlt Pelka fünf einfache Fragen als Leitfaden für ein solches Vorgehen:
- Welche Prozesse im Unternehmen lassen sich mithilfe von Cloud-Technologien effizienter unterstützen?
- Welche Anwendungen und Daten sind davon konkret betroffen?
- Welche Vorschriften sind relevant und wie wirken diese miteinander?
- Wie lassen sich daraus Regeln ableiten, die automatisch, wiederkehrend verwendet werden?
- Welche Zertifikate und Testate sind geeignet, um den Stakeholdern das nötige Vertrauen in die Cloud-Nutzung zu geben?
Aufgrund seiner Erfahrung weiß Pelka: “Diese Fragen klingen simpel, in der Praxis erleben wir aber immer wieder, dass Unternehmen sich bei ihrer Beantwortung schwertun.” So wüssten sie bei vielen Prozessen nicht, welche Daten dafür wann, von wem mit welchen Anwendungen genutzt werden.
“Unter diesen Umständen ist es fast unmöglich, compliant zu sein – auch ohne Cloud.” Gemeinsam mit der TÜV TRUST IT GmbH hat die direkt gruppe deshalb in den vergangenen Jahren ein Verfahren zur Beantwortung dieser und weiterer Fragen entwickelt, das bereits bei einer ganzen Reihe von Banken, Versicherungen, Pharma-Unternehmen, Medizintechnik-Herstellern und Verlagen erfolgreich eingesetzt wird, um die Cloud sicher und rechtskonform zu nutzen.
Das Ziel: ein Compliance-Dashboard
“Der Anspruch ist”, so Pelka, “das gesamte Verfahren zur Einführung und Überwachung einer hybriden Cloud-Infrastruktur soweit zu automatisieren, dass es selbst zum Service wird. Idealerweise wird dabei die Bereitstellung gleich mit automatisiert. Dann kann es gar nicht zu einer Freischaltung von Infrastrukturkomponenten kommen, die nicht sämtliche Sicherheits- und Compliance-Parameter besitzen.” In jedem Fall wollten Unternehmen in einem Compliance-Dashboard permanent sehen können, ob die Anforderungen eines Testats wie ISO 27001 erfüllt werden, oder ob sie eingreifen müssen – und wie.
Das standardisierte Vorgehensmodell von direkt gruppe und TÜV TRUST IT gliedert sich in vier Stufen:
- Compliance Radar: Ein Integrationsleitfaden mit Maßnahmen zur Abdeckung branchenüblicher Compliance-Anforderungen liegt bei Projektstart vor.
- Indivisualisierung: Der Integrationsleitfaden wird auf den Bedarf des Kunden zugeschnitten.
- Orchestrierung: Die Implementierung erfolgt gemäß den Anforderungen des Kunden.
- Auditierung: Offizielle Bestätigung, dass der Betrieb compliant zu den Anforderungen erfolgt.
Einschlägige Regeln identifizieren
Im ersten Schritt kommt es beim Compliance Radar darauf an, aus der wachsenden Vielfalt von Regularien die konkret einschlägigen herauszufiltern. Dabei liefert der Integrationsleitfaden der direkt gruppe wichtige Hilfestellung, weil er neben grundsätzlichen Standards wie ISO-Normen und BSI-Grundschutz auch branchenspezifische Vorschriften wie Solvency II oder MaRisk berücksichtigt und um Best Practices großer Cloud Provider wie Amazon Web Services (AWS) ergänzt. In der Medizintechnik beispielsweise müssen zusätzlich Normierungsvorschriften wie die ISO 14971 und die IEC 80001 erfüllt werden.
Der Compliance Radar sorgt für die kontinuierliche Aktualität des Leifadens während des Betriebs der Cloud-Lösung. Auch regionale Besonderheiten werden dabei laufend integriert und überwacht. Beispielsweise müssen Unternehmen mit Standorten in Australien beachten, dass die dort anfallenden Daten zwar in der Cloud verarbeitet und gespeichert werden dürfen, aber immer auch eine Kopie der Daten physisch im Lande gespeichert sein muss.
Maßnahmenkatalog schlank halten
In der Phase der Individualisierung identifizieren die Berater der direkt gruppe gemeinsam mit dem Kunden spezielle Anforderungen aus Prozessen und Applikationen des Unternehmens. Dazu ermittelt das Projekt-Team gemeinsam mit Abteilungen wie Konzern Security, Datenschutz, Revision und Rechtsabteilung die Schutzbedarfe für unterschiedliche Applikationen und Daten. Die Ergebnisse werden in Form individuell abgeleiteter Anforderungen und Maßnahmen zu ihrer Umsetzung dokumentiert.
EU-Datenschutzgrundverordnung (DSGVO)
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
Interne Policies zu Informationssicherheit, Datenschutz und Compliance werden dabei ebenso berücksichtigt wie die betroffenen Applikationen. Thorsten Pelka erklärt: „Die Herausforderung in dieser Phase besteht darin, den Maßnahmenkatalog so schlank zu halten, dass er übersichtlich und praktikabel bleibt. Gleichzeitig müssen die einzelnen Anforderungen ganz konkret definiert werden“. Im Falle eines international agierenden Versicherungsunternehmens beispielsweise bedeutet “sehr hohe” Verfügbarkeit, dass die Ausfallzeit vier Stunden pro Jahr nicht überschreiten darf.
Umgesetzt werden die so gewonnenen Erkenntnisse in der Orchestrierungsphase. Hier geht es darum, alle technischen Maßnahmen möglichst durchgängig zu automatisieren. Das vermeidet individuelle Fehler und erhöht die Effizienz des Systems. “Vor dem Hintergrund knapper personeller Ressourcen und des generellen Mangels an Fachkräften im Bereich IT-Security legen Unternehmen darauf besonderen Wert”, berichtet Pelka. Für die nötige Transparenz und Verbindlichkeit sorgt eine Roadmap, die alle Beteiligten gemeinsam verabschieden.
Microsoft, T-Systems und das Datentreuhändermodell
Deutsche Unternehmen standen Cloud-Angeboten von Microsoft bisher skeptisch gegenüber. Nun soll ein komplexes Vertragswerk Bedenken ausräumen. Dabei übernimmt T-Systems die Rolle als Datentreuhänder. Doch wie funktioniert dieses Konstrukt im Detail?
Typische Ergebnisse aus dieser Phase könnten so aussehen: Der Cloud-Betrieb erfolgt am Standort Frankfurt/Main. Bewegte und ruhende Daten mit der Vertraulichkeitskategorie „hoch“ sind zu verschlüsseln, Applikationen mit der Verfügbarkeitsanforderung „sehr hoch“ werden grundsätzlich redundant ausgelegt. Bei der Implementierung solcher Vorgaben bis hin zur Gestaltung eines Compliance Dashboards helfen Tools wie AWS Web Access, Microsoft SC Orchestrator und ServiceNow. Sämtliche Regeln werden hier regelmäßig, meist mehrmals täglich mit den tatsächlichen Einstellungen in den Systemen abgeglichen. Bei Abweichungen werden automatisch Warnmeldungen und Handlungsempfehlungen an die jeweils zuständigen Stellen abgesetzt.
Revisionsfähig dokumentiert
Bei der abschließenden Auditierung geht es darum, die Wirksamkeit der getroffenen Maßnahmen dauerhaft zu sichern. Das geschieht durch regelmäßige Self Assessments und externe Zertifizierung, beispielsweise durch die TÜV TRUST IT. Zur Vorbereitung auf diesen wichtigen Schritt werden in allen Projektphasen die eingesetzten Verfahrensanweisungen und Checklisten angepasst und aktuell gehalten.
Die eingesetzte Cloud Orchestration Platform protokolliert alle Aufträge, Zugriffe und Veränderungen automatisch. So entsteht mit minimalem Aufwand eine revisionsfähige Dokumentation als Basis der Zertifizierung. Die kontinuierliche Aktualisierung der Verfahren liefert eine solide Grundlage für ein Testat oder ein Zertifikat zur Compliance-konformen Informationsverarbeitung. Und mit dem Compliance-Dashboard haben die Verantwortlichen auch zwischen den regelmäßigen Compliance-Prüfungen den Überblick über ihre Systeme.
Datenschutz beginnt vor der Cloud
Anwendungen entwickeln und sich dann um ihre Sicherheit kümmern – dieses traditionelle Vorgehen funktioniert im Cloud-Zeitalter nicht mehr. Dass Sicherheitsfragen auf dem Weg in die Cloud von Anfang an mit bedacht werden müssen, ergibt sich aus der Rechtslage, die Anwalt Kraska so zusammenfasst: „Grundsätzlich verlangt das Datenschutzrecht, dass Unternehmen sich vor Beginn der Datenverarbeitung durch Dritte – wie etwa Cloud-Provider – von deren IT-Sicherheit überzeugen.”
In der Praxis geschieht das mit Duldung der Aufsichtsbehörden in der Regel dadurch, dass Cloud-Provider und ihre Kunden sich nach Standards wie ISO 27001 zertifizieren lassen. “Dieses Verfahren hat sich auch für die laufende Prüfung der IT-Sicherheit eingebürgert”, erklärt Kraska. „Laufende Prüfung“ bedeutet: in der Regel alle ein bis zwei Jahre.
Doch wie können Unternehmen sicherstellen, dass ihr Cloud-Provider und damit sie selbst die jeweiligen Vorschriften auch in Zukunft erfüllen? “Auf der rechtlichen Ebene bieten sich dafür Vertragsklauseln an, die dem Cloud-Nutzer zusichern, dass der Dienstleister die Zertifizierungsstandards auch künftig aufrechterhält.” Wer besondere Sicherheitsanforderungen hat, sollte sich darüber hinaus das Recht sichern, Einblick in die Details der Zertifizierung zu nehmen und gegebenenfalls selbst oder durch neutrale Dritte spezielle Audits vorzunehmen. “Und letztlich kommt es natürlich auch für Cloud-Nutzer darauf an, die eigenen Systeme auf dem aktuellen Stand der Technik gegen unbefugte Zugriffe von außen und innen abzusichern”, betont Kraska.
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.