Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Compliance-Risiken von Cloud Computing

Cloud Computing nimmt in der global vernetzten Welt der Wirtschaft eine zunehmende Bedeutung ein. Rund 65% der Unternehmen in Deutschland nutzen derzeit bereits Cloud-Lösungen. So bietet das Cloud Computing vor allem im Rahmen der Digitalisierung vielfältige Chancen. Es sind aber auch zahlreiche relevante Compliance-Risiken zu berücksichtigen, die letztlich in der Verantwortung der Geschäftsführung liegen.

Unter Compliance wird die Einhaltung von gesetzlichen und unternehmensinternen Regeln verstanden. Das Compliance Management umfasst alle Maßnahmen, die ein rechtskonformes Verhalten eines Unternehmens und seiner Führungs- und Aufsichtsorgane garantieren soll. Ein Compliance-Risiko liegt vor, wenn gegen Compliance-Vorgaben verstoßen wird oder wenn Unternehmensprozesse nicht entsprechend den Compliance-Vorgaben ausgerichtet sind und somit das Risiko eines Verstoßes besteht.

Cloud Computing stellt die Nutzung von konfigurierbaren Hard-und Software-Ressourcen (zum Beispiel Netze, Server, Applikationen und Dienste) über das Internet dar. Auf diese IT-Ressourcen kann bei Bedarf jederzeit und von überall bequem in einem geteilten Pool zugegriffen werden. Die IT-Ressourcen können dabei schnell und mit minimalem Management-Aufwand für Nutzer von Cloud Providern zur Verfügung gestellt werden.

Typische Anwendungen des Cloud Computing sind beispielsweise die Datenanalyse, das Erstellen von Apps und Diensten, die Datenspeicherung, -sicherung und -wiederherstellung, die ortsungebundene Datenbereitstellung, das Hosten von Websites sowie die bedarfsgerechte Softwarebereitstellung.

Eine Orientierung bei der Wahl der Cloud
Nachfolgend sollen folgende vier Arten der Cloud-Bereitstellung unterschieden werden:

  1. Private Cloud – bei dieser Cloud betreibt ein Unternehmen/Anwender seine IT-Dienste und sein firmeneigenes Rechenzentrum weiterhin selbst, nutzt aber cloud-typische Mehrwerte, wie zum Beispiel skalierbare IT-Infrastruktur oder IT-Anwendungen, die über den Webbrowser von bestimmten Mitarbeitern des Unternehmens genutzt werden können.
  2. Public Cloud – die Anwendungen werden öffentlich von einem Provider für jedermann zugänglich gemacht.
  3. Hybride Cloud/IT-Umgebung– hier liegt eine Mischung von Private und Public Cloud Diensten vor. Bestimmte Services laufen bei öffentlichen Anbietern über das Internet, datenschutzkritische Anwendungen und Daten verbleiben im Unternehmen beziehungsweise beim Anwender und werden dort verarbeitet. Diese Cloud wird vor allem in typischen Digitalisierungsbereichen verwendet.
  4. Community Clouds stellen Cloud-Infrastrukturen in einem nicht öffentlichen Nutzerkreis dar. Unternehmen schließen sich in einer Community zusammen und greifen gemeinsam auf bestimmte Daten zu.

Grafik 1: Cloud-Servicemodelle
Quelle: Compliance Alliance

Bei den Service-Modellen (vgl. Grafik 1) gibt es folgende drei Varianten:

  1. Infrastructure-as-a-Service (IaaS): hier werden Infrastrukturen wie zum Beispiel Rechenleistungen und Storage vom Cloud-Provider als Service angeboten. IaaS ist das einfachste Modell von Cloud Computing. Der Nutzer entrichtet nutzungsbasierte Gebühren.
  2. Platform-as-a-Service (PaaS): hier werden die oben genannten Infrastrukturen angeboten und zusätzlich eine bedarfsgesteuerte Umgebung mit Schnittstellen, so dass der Nutzer auf der Plattform eigene IT-Anwendungen (zum Beispiel Web-Apps oder mobile Apps) betreiben kann
  3. Software-as-a-Service (SaaS): dies stellt das größte Service-Modell im Cloud Computing dar. Software-Anwendungen werden über das Internet bereitgestellt. Software-Anwendungen und Infrastrukturen werden von Cloud-Providern gehostet und verwaltet.

Für viele Unternehmen sind die Vorteile des Cloud Computing mit den Möglichkeiten der Kostensenkung, Flexibilität und Optimierung von Geschäftsprozessen sehr attraktiv. Insbesondere können betriebliche Risiken bei der IT-Nutzung auf den Cloud-Anbieter übertragen werden.

Doch es sollte Vorsicht geboten sein, denn neben den attraktiven Chancen sind auch diverse Compliance-Risiken zu beachten. Die Entscheidung, IT-Services aus der Wolke auf einen einfachen Kostenvergleich zu reduzieren, könnte böse enden. Deshalb ist unter anderem der Cloud Anbieter auf die Einhaltung von rechtlichen Anforderungen abzuklopfen.

Compliance-Risiken technischer, organisatorischer und rechtlicher Art
Folgende wesentliche spezifische Risikoarten sind unabhängig von der Bereitstellungsart oder den Servicemodellen beim Cloud Computing zu beachten:

  •      Ordnungsmäßigkeitsrisiken, zum Beispiel
  • Nichteinhaltung von Benutzer-, Zugriffs- und Passwortmanagement
  • Nichteinhaltung von Aufbewahrungsanforderungen
  • Vollständigkeit, Richtigkeit von Daten
  • Verarbeitungsanforderungen, Fehlerhafte Verarbeitung von Daten
  •     Sicherheitsrisiken, zum Beispiel
  • Kein Datenschutz der in die Cloud übertragenen Daten;  Gefahr des Datendiebstahles; beispielsweis besteht die Gefahr, dass Schnittstellen beim Exportieren von Daten aus dem eigenen System in die Cloud nicht gesichert sind
  • Keine Datenintegrität der aus der Cloud bezogenen Daten; Gefahr der Datenverfälschung/-manipulation
  • Unbekannter Speicherort der Daten; gegebenenfalls im Ausland
  •     Rechtliche Risiken, zum Beispiel
  • Nichteinhaltung von datenschutzrechtlichen Bestimmungen (EU-DSGVO, BDSG) zum Beispiel

           - Zugriffs-, Zugangs-, Zutritts-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeitskontrolle
             sowie getrennte Verarbeitung der erhobenen Daten je nach Zweck und Kryptographie
           - Umfangreiche Anforderungen bezüglich Erhebung, Verarbeitung und Nutzung von
             personenbezogenen Daten
           - Vorgaben zur Berichtigung, Löschung und Sperrung von Daten
           - Regeln zu privacy-by-design und privacy-by-default
           - Berücksichtigung von Betroffenenrechten und von Pflichten für Verantwortliche und
             Auftragsdatenverarbeiter (Cloud-Anbieter)

  •         Verfügbarkeits-und Vertraulichkeitsanforderungen im Zusammenhang mit
            staatlichen Eingriffen beispielsweise bei strafrechtlichen Ermittlungsverfahren

 

  •     Technische Risiken, zum Beispiel
  • Server-, Netz- und Informations und Plattformsicherheit

 

  •     Organisatorische Risiken und personelle Risiken, beispielsweise Notfallplan, 
        Sicherheitskonzept, Authentifizierung, geeignetes Personal
  • Verschwiegenheitsverpflichtung


Bei den Risiken handelt es sich um schwerwiegende Compliance-Risiken, die schlimmstenfalls die Unternehmensfortführung gefährden können. Daher ist das Thema Cloud Computing ein strategisches Thema, das die Durchführung eines schlüssigen Umsetzungskonzeptes erfordert. Inhalt eines solchen Konzeptes ist die Wahl der unternehmensadäquaten Cloud-Bereitstellung und Service-Modelle unter Beachtung der Identifizierung, Analyse und Ableitung der Auswirkungen der jeweiligen Compliance-Risiken für den Anwender sowie der Einleitung von präventiven Maßnahmen zur Risikoreduzierung.

Lesen Sie im zweiten Teil, welche Standards im Cloud Computing zu beachten sind und wie die Praxis mit Compliance-Risiken in diesem Zusammenhang umgeht.

Autoren: Diplom-Kauffrau Marion Charlotte Willems, Wirtschaftsprüfer Diplom-Kaufmann Karsten Paape; Compliance Alliance; www.compliance-alliance.eu