Alle Treffer anzeigen
Dieses Fenster schliessen

Teil 2: Compliance-Risiken von Cloud Computing

29.08.2017

Cloud Computing nimmt in der global vernetzten Welt der Wirtschaft eine zunehmende Bedeutung ein. Rund 65% der Unternehmen in Deutschland nutzen derzeit bereits Cloud-Lösungen. So bietet das Cloud Computing vor allem im Rahmen der Digitalisierung vielfältige Chancen. Es sind aber auch zahlreiche relevante Compliance-Risiken zu berücksichtigen, die letztlich in der Verantwortung der Geschäftsführung liegen. Der Beitrag ist Teil einer Artikelserie – der erste Teil des Artikels ist bereits vor zwei Wochen erschienen.

Standards im Cloud Computing dienen vor allem der Sicherheit

Da es im Cloud Computing um IT-Systeme und -Strukturen geht, sind zahlreiche Standards einzuhalten. Hier sind beispielhaft Folgende zu nennen:

  1. IDW RS FAIT 1: Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie
  2. IDW RS FAIT 5: Beachtung der GoB beim IT-Outsourcing einschließlich Cloud Computing
  3. IDW PS 951 Prüfung von Dienstleistern bei Outsourcing und Cloud Computing
  4. IDW PS 330 Abschlussprüfung bei Einsatz von Informationstechnologien
  5. IDW PS 331 n.F. Abschlussprüfung bei teilweiser Auslagerung des Rechnungswesens auf Dienstleistungsunternehmen
  6. ISO Normen:
                        a. Die ISO 27017 legt Sicherheitskontrollen für die Cloud fest und zwar sowohl auf
                            Kunden- als auch auf der Anbieterseite.
                        b. Der ISO 27018 regelt insbesondere den Umgang mit und den Schutz von 
                            personenbezogenen Daten und die Datensicherheit. Der Standard verlangt
                            umfangreiche Benachrichtigungs-, Informations-, Transparenz- und
                            Nachweispflichten von den Cloud-Anbietern.
                        c. ISO 27001 spezifiziert Sicherheitsvorgaben für ein Information Security Management 
                            System
                        d. ISO 27002 definiert Vorgaben für Information Security Controls


   7. Sonstige Vorgaben finden sich in COSO und COBIT(siehe auch “COSO- Enterprise Risk Management
       for Cloud Computing”; oder COBIT-“IT control objectives for cloud computing:controls and assurances
       in the cloud”).

   8. BMF- Schreiben zu den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern,
       Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD); diese Regeln
       sind auch im Rahmen der digitalen Betriebsprüfung zu beachten.

   9. Wichtig sind auch einzuhaltende Standards im Rahmen von anerkannten Cloud Zertifizierungen.


Grafik 2 Kontrollverlust beim IT-Outsourcing

Grafik 2: Kontrollverlust beim IT-Outsourcing (Quelle: Riedel/Campe: Cloud Computing, IT-Outsourcing und deren Prüfung, IDW Life 2017, S. 800 ff., Abb. 3.)

In der Praxis hat der Vorstand eines Unternehmens Sorgfaltspflichten zu beachten. Hierzu gehört die Einhaltung gesetzlicher Anforderung, die sich in der Einrichtung und Überwachung eines angemessenen und wirksamen Internen Kontrollsystem (IKS) äußert. Folglich ist das Cloud Computing in die interne Compliance System strategisch zu integrieren.

Grundlage der Compliance Strategie ist das Cloud Dienstleister-Management. Der Anwender sollte folgende Punkte bei der Meilensteinplanung zur Entscheidungsfindung der Auslagerung berücksichtigen:

  • Systematische Erhebung der Compliance-Risiken der jeweiligen für das Unternehmen nach Umfang und Form attraktiven Bereitstellungs-und Servicemodelle (siehe oben).
  • Systematische Analyse der Compliance-Risiken
  • Ableitung der Auswirkungen auf das interne Kontrollsystem des auslagernden Unternehmens
  • Einleitung von präventiven Maßnahmen zur Risikoreduzierung

Beispielsweise sind Datenschutz-und Datensicherheitsrisiken Kernrisiken bei allen Bereitstellungs-und Servicemodellen. Der Cloud-Anwender hat das Kontrollumfeld, die IT-Infrastruktur, die IT-Anwendungen, IT gestützte Geschäftsprozesse sowie die Simulation der Beendigung des IT-Outsourcings mit dem Cloud-Provider zu analysieren. Hierzu zählen vor allen Dingen das Design und die Tests von Kontrollen. Privacy by Design beachtet unter anderem die Sammlung, das Management und die Analyse von Massendaten, so dass bei einer Entschlüsselung von Daten keine individuellen Persönlichkeitsrechte gebrochen werden. Beispielsweise wird so ein Rückschluss von Einzeldaten wie das Rating eines Kreditnehmers auf dessen Identität verhindert.

Möglichkeiten zur Risikoreduzierung sind das Einfordern von Qualitätsstandards bzw. Normen (siehe oben) und die Einforderung vertraglicher Leistungen durch den Cloud-Anbieter. Beispielsweise können innerhalb von Service- Level- Agreements (SLA) oder Leistungsscheinen Kontrollrechte definiert werden. Hierzu zählt 
unter anderem auch die Anforderung, dass Prüfungen der Vertragseinhaltung oder des IKS des Cloud
Providers durch externe unabhängige Dritte regelmäßig vorgenommen werden. Ferner sollte vertraglich definiert werden, wer für welche Risiken verantwortlich ist und welche Sanktionen bei Nichteinhaltung vertraglicher Vorgaben drohen.

Compliance-Risiken hängen von den gewählten technischen Strukturen, dem Standort des Rechenzentrums und den vertraglichen Regelungen der involvierten Parteien ab

Compliance-Risiken sind vielschichtig. Cloud Computing ist wegen der unterschiedlichen Bereitstellungs- und Servicemodelle eine äußerst komplexe und unsichere Entscheidung.
Ein einheitlicher Umgang mit diesen Risiken kann nicht empfohlen werden, da jedes Unternehmen individuelle Anforderungen an IT-Dienstleistungen aus der Cloud hat. Gleichwohl können vorhandene Methoden der Risikoanalyse sowie etablierte Standards genutzt werden, um der Sorgfaltspflicht der Unternehmensorgane nachzukommen. Eine besondere Aufmerksamkeit bedarf der Integration von Cloud Computing in das interne IKS eines Unternehmens sowie der vertraglichen Ausgestaltung mit dem Cloud-Provider.

Autoren: Diplom-Kauffrau Marion Charlotte Willems, Wirtschaftsprüfer Diplom-Kaufmann Karsten Paape;
Compliance Alliance; www.compliance-alliance.eu

 

 

 


 

 


IT-SICHERHEIT

ist die Fachzeitschrift für Informationssicherheit und Compliance. Die IT-SICHERHEIT informiert über akute Gefahren für Unternehmensnetzwerke und Firmen-Know-how sowie über neue Sicherheitstechnologien und IT-relevante Rechtsvorschriften.

 

 .

DATAKONTEXT

ist einer der führenden Fachinformationsdienstleister in den Bereichen Human Resources (HR), Personalarbeit, Entgeltabrechnung, Datenschutz und IT-Sicherheit.

IT-SICHERHEIT

ist die Fachzeitschrift für Informationssicherheit und Compliance. Die IT-SICHERHEIT informiert über akute Gefahren für Unternehmensnetzwerke und Firmen-Know-how sowie über neue Sicherheitstechnologien und IT-relevante Rechtsvorschriften.

 

 .

DATAKONTEXT

ist einer der führenden Fachinformationsdienstleister in den Bereichen Human Resources (HR), Personalarbeit, Entgeltabrechnung, Datenschutz und IT-Sicherheit.

IT-SICHERHEIT

ist die Fachzeitschrift für Informationssicherheit und Compliance. Die IT-SICHERHEIT informiert über akute Gefahren für Unternehmensnetzwerke und Firmen-Know-how sowie über neue Sicherheitstechnologien und IT-relevante Rechtsvorschriften.

 

 .

DATAKONTEXT

ist einer der führenden Fachinformationsdienstleister in den Bereichen Human Resources (HR), Personalarbeit, Entgeltabrechnung, Datenschutz und IT-Sicherheit.