Coming soon ... IT Summit by heise

Compliance: Firmen müssen Cloud-Providern auf die Finger schauen

Ein neuer Blog-Beitrag der Claranet GmbH beschäftigt sich mit dem Thema Cloud Compliance bei Providern. Sie soll garantieren, dass es in der Cloud gesetzlich sowie regulatorisch mit rechten Dingen zugeht. Fabian Kaiser (Head of Security & Compliance bei Claranet) erklärt im Blog, worauf es ankommt. 

Zu Beginn des Beitrags bezieht sich Fabian Kaiser von Claranet auf eine Studie von techconsult, bei der Anfang 2023 200 Cloud-Beauftragte in Unternehmen zwischen 50 und 499 Mitarbeitern zum Thema Cloud Compliance befragt wurden. Das Ergebnis: 60,5 Prozent der Befragten finden Compliance und Security extrem wichtig und achten auch bei der Auswahl eines Cloud-Anbieters darauf. In Firmen mit über 500 Beschäftigten liegt der Wert sogar bei 74,6 Prozent. Grund genug, um den Providern in dieser Hinsicht mal auf den Zahn zu fühlen.  

Grundlegende Cloud-Compliance-Anforderungen

„Cloud Compliance stellt sicher, dass gesetzliche, regulatorische und unternehmensspezifische Vorgaben und Richtlinien in der Cloud umgesetzt und eingehalten werden“, definiert Claranet den Begriff. „Sie umfasst Aspekte wie Datenschutz, die ordnungsgemäße Aufbewahrung von Daten, Informationssicherheit sowie die Verfügbarkeit von Infrastrukturen, Lösungen und Services aus der Cloud.“ Hinzu kommen noch Aspekte der Nachhaltigkeit, aber auch soziales Engagement spielt eine Rolle. Viele Verordnungen und Gesetze beschäftigen sich mit Compliance-Anforderungen in puncto Cloud Computing, etwa die Datenschutz-Grundverordnung (DSGVO) oder das Lieferkettensorgfaltspflichtengesetz (LkSG). Sobald bei Cloud-Computing-Plattformen externe Anbieter ins Spiel kommen, „werden die Daten zum Beispiel über externe Netze übertragen und in Rechenzentren des Cloud-Anbieters verarbeitet und gespeichert“, so der Autor. „Mitunter ergeben sich komplexe Konstellationen, die eine Nachvollziehbarkeit der Datenflüsse und der beteiligten Dienstleister erschweren.“ Die Folge: „Allein dies zeigt schon, dass Sie für die Einhaltung der Compliance-Anforderungen transparente Informationen des Cloud-Betreibers benötigen.“ Cloud-Betreiber sollten folglich nachweisen können, dass ihre Plattform grundlegenden Cloud-Compliance-Anforderungen genügt.

Wichtige Fragen und Zertifikate

Im Folgenden weist Fabian Kaiser darauf hin, dass Cloud-Kunden überprüfen sollten, ob der Anbieter alle für sie branchen- oder unternehmensspezifischen Richtlinien erfüllt. Als Hilfestellung bietet er einen Fragenkatalog an, die Firmen Cloud-Providern stellten sollten. Etwa: Wer speichert und verarbeitet wo die Daten? Oder: Wo und wie sind die Daten verschlüsselt? Zudem sollten Verantwortliche auf Zertifikate achten, etwa auf Zertifikate von Drittanbietern, zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinem Leitfaden für den IT-Grundschutz. Oder normbasierte Zertifikate wie die Normenreihe ISO/IEC 27001. Im weiteren Verlauf des Blog-Beitrag beleuchtet der Autor die wichtigsten Zertifizierungen für Cloud-Provider und erklärt, wie sich die DSGVO in der Cloud einhalten lässt. Darüber hinaus gibt er Tipps, wie Unternehmen einen sicheren Cloud-Anbieter finden.