Matrix Technology AG
Blog > Cloud, Datenschutz und Compliance – Geht das überhaupt?

Cloud, Datenschutz und Compliance – Geht das überhaupt?

Wolfgang Mokosch

Wolfgang Mokosch

Senior IT-Consultant & Interne Revision

Wolfgang Mokosch beschäftigt sich seit mehr als zwei Jahrzehnten mit unterschiedlichen Aspekten aus den Themengebieten IT-Sicherheit und Risk Management. Seine Kernkompetenzen liegen in den Bereichen Sicherheitskonzepte, Sicherheitsmanagement und Datenschutz.

Alle Beiträge des Autors

Oftmals scheitern Unternehmen, die Cloud-Dienstleistungen anbieten oder nutzen wollen, an einer entscheidenden Frage: Wie bin ich weiterhin Datenschutz und Compliance konform? Denn neben wirtschaftlichen und betrieblichen Interessen stellen die zahlreichen einzuhaltenden rechtlichen und regulatorischen Anforderungen auf nationaler sowie internationaler Ebene eine wesentliche Herausforderung an die Gestaltung der Cloud dar.

In diesem Beitrag gebe ich Ihnen wichtige Tipps mit an die Hand, welche Datenschutz- und Compliance-Aspekte Sie bereits in der Cloud-Findungsphase betrachten sollten. Das ermöglicht Ihnen den Anforderungen von Aufsichtsbehörden wie der BaFin gerecht zu werden und den Datenschutz und Compliance konformen Umgang in der Cloud sicherstellen zu können.

Haben Sie alle Anforderungen an den Public Cloud-Einsatz im Blick?

Prüfen Sie in wenigen Minuten, welche regulatorischen Anforderungen Sie auf dem Weg in die Public Cloud bereits umgesetzt haben und stellen Sie fest, wo Handlungsbedarf besteht.

Zur Checkliste →

1. DSGVO und Cloud

Seit 2018 gilt sowohl in Deutschland als auch in Europa die Datenschutzgrundverordnung (DSGVO). Diese relativ neue Verordnung stellt auch Unternehmen, die Cloud und somit Cloud Services nutzen, vor eine große Herausforderung – die zentrale Frage lautet: Wie sieht eine DSGVO konforme Cloud-Lösung aus? Die DSGVO ist dabei nicht nur von Unternehmen mit Sitz in der Europäischen Union zu beachten, sondern gilt auch für Unternehmen, die ihre Cloud Services für Unternehmen mit Sitz in der EU betreiben.

Die Anforderungen aus der DSGVO-Verordnung besagen, dass personenbezogene Daten besonders zu schützen sind. Im Rahmen der Cloudfrage bedeutet dies zuallererst „know your data“: Wo im Unternehmen sind besonders schützenwerte und personenbezogene Daten gespeichert bzw. durch wen und wie werden diese verarbeitet? Häufig unterliegen Unternehmen der Fehlannahme, dass nur ihre Personalabteilung - vielleicht auch noch Einkaufs- und Vertriebsabteilungen - personenbezogene Daten verarbeiten. Aber auch Teilnehmer- und Kundendaten der Marketingabteilung, die beispielsweise im Rahmen einer Verlosung erhoben wurden, das Zeugnis, dass für einen Azubi durch seinen Vorgesetzten erstellt worden ist oder der manuell geführte Urlaubskalender der Mitarbeiter gelten im Sinne der DSGVO als personenbezogene Daten.

Im Rahmen einer Voranalyse oder eines Cloud Readiness Assessments bietet es sich an die allgemeinen Prozesse des Risiko- und Informationsmanagements auf ihren Reifegrad hin zu analysieren und ggf. zu vervollständigen. Personenbezogene und sicherheitskritische Daten, die das Unternehmen verarbeitet, müssen auf ihren Schutzbedarf hin analysiert werden. Dies erlaubt frühzeitig Daten eindeutig zu identifizieren, zu klassifizieren und ein bedarfsgerechtes Schutzniveau zu etablieren. So können sensible Datenstämme in weiteren Schritten der Cloud Transformation, die häufig einen hybriden und/oder auch Multi Cloud-Ansatz verfolgt, beispielsweise verschlüsselt oder gesondert in eine Private Cloud ausgelagert werden oder auf Basis einer Risikoanalyse auch weiter Onsite gespeichert und verarbeitet werden.

Mit einer klaren Identifikation, dem Clustering und einer „gekapselten“ Auslagerung, beispielsweise in eine Private Cloud Instanz, ist die vollumfängliche Erfüllung der DSGVO Vorgabe im Rahmen einer Cloud Transformation möglich.

Neben gesonderten Datenschutzaudits kann die Umsetzung einer DSGVO konformen Cloud-Lösung auch im Rahmen der jährlichen Abschlussprüfung durch den bestellten Wirtschaftsprüfer erfolgen und bestätigt werden.

Exkurs: Ein weiterer interessanter Aspekt in diesem Zusammenhang ist auch das Scheitern des „Safe-Harbour-Abkommens“ sowie des EU-US-Datenschutzschildes: Mit der Pressemitteilung 91/20 vom 16.07.20 hat der Gerichtshof der EU den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt.

Dies war nach dem Kippen des „Safe Harbour“ Abkommens bereits das zweite Mal, dass Datenschutzabkommen mit den Vereinigten Staaten nachträglich für unwirksam erklärt wurden.

Das bedeutet aber nicht, dass man nun keine Cloud Services mehr von US-amerikanischen Anbietern beziehen kann. Im Gegenteil: Auch Aufsichtsbehörden wie BaFin und Bundesbank sagen klar, dass die Zukunftsfähigkeit von Banken, Versicherern und Finanzdienstleistern auch von der Nutzung der Chancen der Cloud abhängt. Wie auch vor dem 16.07.20 gilt: Bevor man Services aus der Cloud bezieht, müssen alle Vorarbeiten sorgfältig erledigt werden. Dies beginnt bei der konkreten Anforderungsanalyse, geht über die sorgfältige Auswahl des geeigneten Services und mündet in der aktiven Vertragsgestaltung. Diese sollten zudem auf einer Kenntnis der Risiken beruhen, damit sie durch passende Vertragsbestandteile mitigiert werden können.

Viele Cloud-Transformationen scheitern an einem Missverständnis betreffend dem Umgang mit Risiken in Unternehmen. Die Hoffnung, die viele Unternehmenslenker mit Abkommen wie Save Harbour verbunden haben, ist eine Art übergeordneter Freibrief für die Nutzung von Cloud-Services, ohne dabei ein Risiko eingehen zu müssen. Diese Hoffnung hat der EuGH mit seinem Urteil zunichte gemacht. Viele Manager glauben bis heute, sie müssten ihren Verantwortungsbereich frei von Risiken halten. Die Aufsicht von regulierten Unternehmen erwartet aber, dass das Management proaktiv mit Risiken umgeht, diese also kennt und akzeptiert oder Gegenmaßnahmen aufsetzt. Prüfer würdigen es nicht, wenn die Unternehmensleitung keine Risiken vorweisen kann, sondern kritisieren bei zu wenigen gesteuerten Risiken - im Gegenteil - mangelnde Transparenz und mangelndes Risikobewusstsein. Die Verlagerung der (Rest-)Risiken, die sich aus der Nutzung von Clouddiensten ergeben, auf den Gesetzgeber oder internationale Abkommen, funktioniert also nicht.

Vielmehr gilt für eine sorgsam aufgesetzte Cloudtransformation: Zunächst muss das Unternehmen im Rahmen seiner Cloudstrategie die Risiken identifizieren, die sich aus der Cloud-Transformation für Daten und Applikationen ergeben. Zwar akzeptieren die Cloud-Hyperscaler die DSGVO, bleiben aber dennoch als amerikanische Unternehmen dazu verpflichtet, auf Anforderung amerikanischer Behörden Daten herauszugeben, egal, ob diese in Deutschland oder anderswo liegen. Dieser Interessenkonflikt ist erstmal ein Risiko. Mitigiert werden kann es durch Verschlüsselung, ggf. mit eigenem Schlüsselmanagement, oder in dem man seine „Kronjuwelen“ an Daten nicht in der Cloud verarbeitet. Solche Maßnahmen mitigieren das Risiko auf ein Restrisiko, welches die Unternehmensleitung akzeptieren muss. Die Aufsichtsbehörden erwarten, dass der Schutzbedarf der Daten festgestellt wurde und nach Prüfung und ggf. Umsetzung von Mitigationsmaßnahmen der Weg in die Cloud bewusst beschritten wurde. All das muss im Risikomanagement nachvollziehbar dokumentiert sein.

Unternehmenslenker, die ihre Cloud Services erst nach fundierter Abwägung aller Möglichkeiten, auf ihre Bedarfe angepasst und beauftragt haben, sollten durch das EuGH-Urteil (wenn überhaupt) nur marginal betroffen sein, da sie schon heute für einen angemessenen Schutz für die Verarbeitung ihrer Daten in der Cloud gesorgt haben. Sollte die Data-Leakage-Mitigation durch Zugriff amerikanischer Behörden auf der Anwendung des Privacy Shields beruhen, ist diese nichtig. Beruht sie hingegen auf angemessenen technischen und organisatorischen Maßnahmen, wie Verschlüsselung, Minimalprinzip etc. ist sie weiterhin gültig. Generell ist davon auszugehen, dass es auch die Intention der Richter war, mit ihrem Urteil eine Verbesserung und Konkretisierung des bisherigen Abkommens zu initiieren.

Cloud Readiness

Cloud Readiness

Compliance Check oder Cloud Readiness Assessment? Die matrix unterstützt Sie dabei!

Die Cloud- und Digitalisierungsexperten der matrix technology helfen Ihnen dabei, Ihr Unternehmen technisch Fit für die Zukunft zu machen. Angefangen von einem kleinen Compliance Check bis hin zu einem umfassenden Cloud Readiness Assessment.

 

Jetzt mehr erfahren!

2. ISO Normen und Cloud

Der ISO Standard 27001 wurde als Basis- und Meilenstein in der Informationssicherheit definiert und stellt heutzutage eine „Quasi“-Mindestanforderung an den IT-Betrieb von Unternehmen dar. Das damit verfolgte Ziel, die Informationssicherheit verwaltbar, prüfbar und nachvollziehbar zu gestalten, wird durch die Definition flexibler Mindestanforderungen an IT-Prozesse, IT-Betrieb und IT-Infrastruktur sowie die Bereitstellung eines klar definierten und dedizierten Anforderungs- und Prüfkatalogs erreicht.

Im Rahmen der immer brisanter werdenden Cloud-Thematik, wurden auch für Cloud Anbieter (ISO 27017) und Cloud Nutzer (ISO 27018) dedizierte ISO Standards im Prozessrahmenwerk der ISO implementiert. Neben dem ISO Standard 27701, der eine Schnittstelle zum eben erwähnten Datenschutz darstellt, sind weitere ISO Standards je nach Branchenzugehörigkeit zu beachten. Eine Umsetzung dieser Standards wird wie im Falle der DSGVO, der amerikanischen Health Insurance Portability and Accountability Act (HIPAA) oder auch der Payment Card Industry Data Security Standard (PCI DSS) meist implizit gefordert. Allerdings adaptieren immer mehr Branchen die ISO Standards für ihre Zwecke: So liegt der Ursprung des Automobilstandards TISAX sowie diverser branchenspezifischer Sicherheitsstandards (B3S) in angepassten ISO 27001 Standards.

Immer mehr Unternehmen in Deutschland lassen sich daher nach ISO 27001 zertifizieren und einmal im Jahr durch den externen Prüfer auditieren. Mit einer Zertifizierung nach ISO 27001 können Betreiber von Cloud-Lösungen Ihren Kunden die Sicherheit der Infrastrukturen, Plattformen und Services sowie allgemeiner Management Prozesse des IT-Betriebes nachweisen. Der sehr klar strukturierte Anforderungs- und Prüfkatalog ermöglicht dabei genügend Freiräume für die Umsetzung kundenspezifischer Lösungen und allgemeingültiger Grundsätze der Informationssicherheit.

Oftmals ist die Entscheidung zur Umsetzung eine eigenständige Unternehmensentscheidung. Aber spätestens durch die Einführung des IT-Sicherheitsgesetzes, der Definition von kritischen Unternehmen und Branchen sowie der Umsetzung der DSGVO, ergibt sich für viele Unternehmen eine hinreichend verbindliche Vorgabe zur Umsetzung und zum Nachweis eines Managementsystems nach ISO Standards 27001. Insbesondere Kunden streng regulierter Industrien wie Pharma, Finanzen, Versicherungen und Energie fordern von Cloud-Anbietern inzwischen die Zertifizierung aktiv ein.

Wichtig ist, dass bereits in den ersten Schritten der Cloudfindungsphase die gesetzlichen, regulatorischen sowie kundenspezifischen Compliance-Anforderungen identifiziert und der Nachweis durch Umsetzung der notwendigen ISO Standards evaluiert wird. Aus der langjährigen Erfahrung heraus hat sich erwiesen, dass die ISO Normen 27001 und ISO 270017/27018 als Basislinie und Mindestanforderung der Cloud-Strategie für Unternehmen und sonstige Cloud relevante Instanzen eine Erleichterung in der nachgelagerten Zertifizierung und der Erfüllung der Compliance-Vorgaben war und ist, sofern sie frühzeitig in die Entscheidungen miteinbezogen wird.

3. C5 und Cloud

Im Jahr 2016 hat das Bundesamt für Sicherheit in der Informationstechnik zusammen mit einer führenden Wirtschaftsprüfungsgesellschaft den C5 Prüfkatalog für Cloud Computing vorgestellt. Der C5 Prüfkatalog ist ein gesamtheitlicher Cloudprüfansatz unter Berücksichtigung des Prüfstandards ISAE 3402/ IDW 951 Fait 5, als auch den vom BSI veröffentlichten Mindestanforderung an Cloud Computing sowie den ISO Standards ISO 27001 und 27017.

Der Prüfkatalog ist in 14 Kapitel und 112 Kontrollen aufgeteilt, von Physischer Sicherheit bis hin zu Kryptographie und Schlüsselverwaltung in der Cloud. Durch die Konsolidierung diverser führender Prüf- und Zertifizierungsstandards hat das BSI durch die Schaffung des C5 Prüfkatalogs eine neue Ebene der Anforderungs- und Prüfungsebene ins Leben gerufen, der vollumfänglich gesamtheitliche Prüfungen der Cloud-Anbieter ermöglicht.

Auch durch die Einschränkungen, wer dazu berechtigt ist, diese Prüfung durchzuführen, hat das BSI eine strikte Reglementierung und Qualitätsebene definiert, die über jene der ISO Standards hinausgeht. So sind ausschließlich Wirtschaftsprüfer in der Lage, die notwendigen Prüfungshandlungen durchzuführen und Testate auszustellen, welche ambivalent zu den Bestätigungsvermerken eines Jahresabschlusses sind und das Vertrauen von Cloud-Nutzern und Investoren stärken sollen.

Seit 2020 gibt es die zweite Version des C5 Anforderungskatalogs. Hierfür wurden aktuelle Themen wie „DevOps“ mit aufgenommen und u.a. der Bereich Identity Access Management noch einmal in den Kontrollen nachgeschärft, um den am Markt geltenden Anforderungen als auch Bedrohungen entgegen wirken zu können. Die wesentliche Stärke liegt hierbei in der Konsolidierung unterschiedlicher branchenspezifischer Standards auf nationaler und internationaler Ebene. Zudem stellt die neue C5-Version klar, dass die meisten Anforderungen genauso auf Seiten des Kunden wie auf Seiten des Dienstleisters umgesetzt werden müssen.

Eine Umsetzungspflicht für die C5 Anforderungen besteht zwar nicht, jedoch lassen sich die großen Public Cloud-Anbieter wie Google, Amazon, Microsoft, Alibaba und Co. regelmäßig gemäß Anforderungen des C5-Standards auditieren.

Im Rahmen der Cloud-Strategie des Unternehmens sollte bei einer Cloud-Nutzung darauf geachtet werden, dass die notwendigen Auditberichte gemäß C5 seitens des Dienstleisters vorliegen oder eine Zertifizierung nach ISO27018 vorliegt.

Sollten Sie als Unternehmen selbst in Betracht ziehen, Ihre Lösungen und Dienstleistungen in einer eigenen Cloud für Ihre Kunden und/oder auch Lieferanten anzubieten, wäre eine C5-Auditierung nicht nur eine gute Ergänzung zu vielen anderen Compliance Standards, sondern diese ist bei inzwischen vielen Großunternehmen und dem Mittelstand eine Mindestanforderung an Cloud-Anbieter. Insbesondere Cloud-Anbieter, die internationale Kunden im Fokus haben, sollten hinsichtlich der Vielzahl an Compliance-Anforderungen eine C5-Umsetzung in Betracht ziehen. Der C5 Prüfkatalog ist kostenlos auf der Website des BSI herunterzuladen.

 

4. KRITIS, BaFin und Cloud

Auf die stetig steigenden Compliance- und Sicherheitsvorgaben auf nationaler sowie internationaler Ebene haben auch die einzelnen Branchen reagiert. Besonderes Augenmerk gilt hier den sogenannten kritischen Infrastrukturen: Durch die Einführung des IT-Sicherheitsgesetztes 2015 wurden einzelne Branchen u.a. Nahrungsmittelproduktion, Logistik und Energie als besonders schützenswerte Infrastrukturen deklariert.

Mit Einführung des IT-Sicherheitsgesetztes und der KRITIS-Regulierung unterlagen diese Unternehmen plötzlich weiteren regulatorischen und gesetzlichen Anforderungen im Bereich IT und IT-Sicherheit. So war die Vorgabe der Einführung eines ISMS (Information Security Management Systems) bis Ende 2018 nur eine von vielen neuen Vorgaben. Dies stellte KRITIS relevante Unternehmen vor viele neue Herausforderungen, u.a. auch bei den Themen Cloud, Cloud Transformation und KRITIS in der Cloud. Auch hier galt von Anfang an der Grundsatz „know your data“. Die KRITIS-Vorgaben schließen keine Cloud-Nutzung aus, stellen allerdings durch den gesamtheitlichen Sicherheitsanforderungsstandard höhere Anforderungen an die Auslagerung und Nutzung von Cloud-Lösungen.

Neben den KRITIS relevanten Unternehmen unterliegen auch Banken und Versicherungen besonderem Schutz. Die Anforderungen im Umgang mit und der Verwaltung von Daten sind hoch. Viele Banken- und Versicherungssysteme fallen zudem sowieso in die KRITIS-Kategorie, zum Beispiel durch den gesamten Zahlungsverkehr. Die Anforderungen – auch die speziellen KRITIS-Anforderungen in diesen Bereichen - sind in branchenspezifischen Richtlinien wie der BAIT, VAIT oder KAIT konkretisiert.

5. Cloud-Compliance in der Zukunft

Natürlich ist jede Zertifizierung oder Auditierung eine Momentaufnahme, und jedes Unternehmen, jede IT-Infrastruktur und jeder IT-Prozess unterliegt dem stetigen Wandel. Daher sind selbst nach erfolgreicher Zertifizierung folgende zwei interne Maßnahmen die Mindestanforderung, um die aktuell geltenden Compliance-Anforderungen einhalten zu können:  

Konstantes Monitoring:

Konstantes Monitoring: 

 

Im Rahmen der regelmäßigen internen Audits muss ein Abgleich von Änderungen im IKS (Internes Kontrollsystem) stattfinden. Veränderungen der IT-Infrastruktur durch die Ergänzung sowie den Wegfall von Dienstleistern oder regulatorische oder gesetzliche Veränderungen müssen identifiziert werden. Auch ein neuer nationaler oder internationaler Standort könnte die gesamte Cloud-Transformation und deren Anforderungen verändern.

Konstante einheitliche Richtlinien und deren Überwachung:

Konstante einheitliche Richtlinien und deren Überwachung: 

 

Oftmals werden die größten Datenmengen in und durch diverse Cloud-Services und Cloud-Instanzen „geschoben“, ohne dass das Unternehmen darüber aktiv informiert wurde. So hat zum Beispiel ein Mitarbeiter aus der Entwicklung sich selbst ausreichend Speicherplatz bei Amazon gekauft und verarbeitet dort Unternehmensdaten; oder die Marketingabteilung nutzt diverse Cloud-Apps zur Ausgestaltung und dem Versand von Gewinnspielen zu Weihnachten. All dies wurde über die private oder firmeninterne Kreditkarte bezahlt und über Spesen abgerechnet. Somit hat weder die Geschäftsleitung noch der Compliance-Verantwortliche Einsicht oder Informationen über die sogenannte Cloud Shadow IT. Daher ist es von äußerster Wichtigkeit, bereits bei der ersten Einführung von Cloud-Applikationen und Cloud-Nutzungen, klare und nachhaltige Richtlinien aufzustellen, einzuhalten und zu prüfen. Nur so kann ein Unternehmen im digitalen Zeitalter alle Informationen, Daten sowie auch unternehmenskritische Patente und Informationen schützen und zeitgleich den Nutzern und Mitarbeitern einen modernen Arbeitsplatz bieten.

Checkliste: Public Cloud im BaFin-regulierten Umfeld

In dieser Checkliste haben wir Ihnen die wichtigsten regulatorischen Anforderungen für eine aufsichtskonforme Cloud Nutzung zusammengefasst. Sie enthält die Empfehlungen der BaFin und die Anforderungen, die in den BAITs bzw. VAITs sowie dem C5-Katalog des BSI niedergeschrieben sind. So haben Sie alle Anforderungen im Blick und können einfach abhacken, welche Sie bereits erfüllen sowie feststellen, wo gegebenenfalls Handlungsbedarf besteht. 

Jetzt Checkliste downloaden →

Checkliste: Public Cloud im BaFin-regulierten Umfeld