Cloud-Compliance – Die rechtssichere Cloud

Wir schauen daher, was es braucht, um eine vollständige Cloud Compliance – also die Einhaltung aller relevanten Rechtsvorschriften – in der Cloud sicherzustellen.

Was ist Cloud Compliance?

Der Begriff Cloud Compliance bezeichnet einen Prozess, der sicherstellen soll, dass bei der Nutzung von Cloud-Diensten sämtliche regulatorischen Vorgaben eingehalten werden. Dazu zählen allgemeine gesetzliche Regelungen wie die DSGVO oder HIPAA, branchenspezifische Standards sowie auch eigene, unternehmensinterne Richtlinien. 

Ziel ist es, den Schutz sensibler Daten (von Mitarbeitern und Kunden) zu gewährleisten. Ein glaubwürdiger Einsatz für Cloud Compliance hilft weiterhin dabei, Haftungsrisiken für Unternehmen zu minimieren und das Vertrauen der eigenen Kunden in die angebotenen Service-Leistungen zu stärken. 

In der Praxis sollten Anbieter von SaaS-Diensten ihren Kunden proaktiv wichtige Informationen zur Verfügung stellen, um die Einhaltung sämtlicher zentraler Vorgaben zu belegen. Gleichzeitig ist es aus Perspektive der Kunden auch sinnvoll, solche Nachweise aktiv einzufordern bzw. relevante Vorschriften und Standards selbst zu kennen.

Vorschriften & Standards – Cloud Compliance in der Praxis

Das Themenfeld Cloud Compliance ist recht vielschichtig. Das liegt vor allem auch an der Bandbreite an Vorgaben und Regulierungen, die für ein Höchstmaß an Compliance eingehalten werden müssen. Hinzu kommen zudem wesentliche Normen, deren Einhaltung als „Best Practice“ gelten sollte:

• Datenschutz-Grundverordnung (DSGVO)
  Diese EU-Verordnung bildet die rechtliche Grundlage für den Schutz personenbezogener Daten. Unternehmen müssen gemäß dieser Verordnung etwa klar darlegen, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Die DSGVO fordert außerdem umfangreiche Dokumentations- und Nachweispflichten.

  Für Cloud-Anbieter und Kunden bedeutet dies, dass alle datenbezogenen Prozesse dokumentiert sowie durch geeignete technische und organisatorische Maßnahmen (TOM) abgesichert sein müssen. Auch die Betroffenenrechte (Auskunft, Löschung, Datenübertragbarkeit etc.) müssen bei der Nutzung von Cloud-Diensten gewahrt bleiben.

• IT-Sicherheitsgesetz
  Dieses Gesetz betrifft insbesondere Betreiber sogenannter kritischer Infrastrukturen (KRITIS), also Unternehmen aus Bereichen wie Energie, Gesundheit, Finanzen oder Verkehr. Es verpflichtet zur Umsetzung spezieller Sicherheitsstandards und zur Meldung erheblicher IT-Störungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).

  Für Cloud-Dienste, die in diesen Bereichen genutzt werden, gelten daher besonders hohe Anforderungen an Verfügbarkeit, Integrität und Vertraulichkeit. Zudem verlangt das Gesetz regelmäßige Sicherheitsüberprüfungen, Penetrationstests und den Einsatz zertifizierter Technik.

• HIPAA (Health Insurance Portability and Accountability Act)
  HIPAA regelt den Umgang mit Gesundheitsdaten in den USA und stellt strenge Anforderungen an deren Vertraulichkeit, Integrität und Verfügbarkeit. Für Cloud-Dienste, die von Gesundheitsdienstleistern in den USA genutzt werden, bedeutet das: Sie müssen als sogenannte "Business Associates" ebenfalls HIPAA-konform arbeiten. 

  Dazu gehören unter anderem technische Schutzmaßnahmen wie Zugriffskontrollen, Verschlüsselung und sichere Übertragungsverfahren. Zudem verlangt HIPAA vertragliche Regelungen zwischen den Dienstleistern und den datenschutzverantwortlichen Stellen, die genau festlegen, wie Daten verarbeitet, gespeichert und im Notfall wiederhergestellt werden. Für internationale Cloud-Anbieter ist es essenziell, HIPAA-Konformität transparent nachzuweisen, etwa durch entsprechende Audit-Reports oder Zertifizierungen.

• ISO/IEC 27001
  Diese internationale Norm spezifiziert Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Unternehmen, die sich nach ISO 27001 zertifizieren lassen, weisen damit nach, dass innerhalb des Unternehmens strukturelle Maßnahmen im Bereich der Informations- und Cybersicherheit sowohl systematisch geplant als auch umgesetzt und laufend verbessert werden.
• ISO/IEC 27018
  Als Ergänzung zur ISO 27001 legt diese Norm den Fokus auf den Schutz personenbezogener Daten in der Cloud. Sie definiert Anforderungen an Anbieter, die personenbezogene Daten im Auftrag ihrer Kunden verarbeiten. Dazu zählen unter anderem Regelungen zur Einwilligung der Nutzer, zur Löschung von Daten, zur Transparenz gegenüber dem Kunden sowie zur Nichtweitergabe an Dritte ohne Zustimmung. 

Je nach Tätigkeitsfeld des Kunden oder auch Spezialisierung des Cloud-Anbieters können einzelne Vorschriften (etwa HIPAA) eine mehr oder weniger wichtige Rolle spielen. Entscheidend ist, dass Kunden bei der Auswahl von SaaS-Lösungen auf solche Partner setzen, die in ihrem Geschäftsfeld die notwendige Cloud Compliance belegen können.

Herausforderungen bei der Umsetzung von Cloud Compliance

Nicht nur die reine Menge an Regularien kann bei der praktischen Umsetzung von Cloud Compliance eine erhebliche Hürde darstellen. Tatsächlich finden sich im Alltag eine Reihe von Stolpersteinen:

• Transparenz und Kontrolle über Datenverarbeitung
  Unternehmen „verlieren“ bei der Auslagerung von IT-Prozessen hin zu SaaS-Lösungen den direkten Zugriff und die Kontrolle über ihre Daten. Nun liegen diese nicht mehr auf eigenen Servern, sondern werden durch einen Anbieter bereitgestellt. Dies verlangt sowohl ein hohes Maß an Vertrauen in die Integrität des Anbieters als auch ausgiebige Ab- und Rücksprachen.
• Multicloud- und hybride IT-Umgebungen
  Die Kombination unterschiedlicher Cloud-Plattformen (Hybrid Cloud / Multi-Cloud) und lokaler IT-Systeme führt zu komplexen Strukturen, in denen Compliance-Maßnahmen schwer zentral steuerbar sind. Je zahlreicher die Strukturen oder auch die Anbieter, die in die Prozesse involviert sind, desto schwieriger wird es, unter diesen Bedingungen Cloud Compliance belegen und aufrecht erhalten zu können.
• Mangelndes Know-how und interne Ressourcen
  Die Umsetzung regulatorischer Vorgaben erfordert Fachwissen aus IT, Recht und Datenschutz – für einzelne Unternehmen ist dies heutzutage kaum realistisch zu leisten, besonders bei sich ständig entwickelnden Voraussetzungen und Rechtslagen. Für die Einhaltung regulatorischer Vorgaben – gerade bei komplexen Cloud-Strukturen – ist die Zusammenarbeit mit spezialisierten Anbietern sinnvoll. 

• Regionale Unterschiede
  Internationale Cloud-Anbieter unterliegen verschiedenen Rechtsvorschriften – die zum Teil auch im Konflikt stehen können. Besonders herausfordernd ist die Abwägung zwischen europäischen Datenschutzstandards und US-amerikanischem Recht, insbesondere im Hinblick auf Gesetze wie den CLOUD Act. 

  Dieser zum Beispiel berechtigt US-amerikanische Behörden, Daten von US-Unternehmen einzufordern, die im Ausland (etwa in der EU) gespeichert sind. Für diese Daten gelten jedoch gleichzeitig die strengen Vorgaben der DSGVO.

Faktisch ist dies nur ein kleiner Auszug verschiedener Herausforderungen aus dem Feld der Cloud Compliance. Diese vermitteln aber bereits einen guten Eindruck von der Komplexität der Materie insgesamt. Im nachfolgenden Abschnitt widmen wir uns der Frage, wie Unternehmen bzw. Anbieter die Sicherheit ihrer Cloud-Strukturen sicherstellen. 

Technische und organisatorische Maßnahmen (TOMs)

Technische und organisatorische Maßnahmen sind eine zentrale Säule des Datenschutzes und somit auch der Cloud Compliance. Durch die Definition und Umsetzung geeigneter Maßnahmen können (und müssen) Unternehmen sowie SaaS-Anbieter den datenschutzkonformen Umgang mit Informationen sicherstellen. 

Technische Maßnahmen

Schutzmechanismen auf technischer Seite sollten folgende Punkte umfassen:

• Verschlüsselung: Sowohl gespeicherte Daten (Data at Rest) als auch übermittelte Daten (Data in Transit) müssen mit Hilfe einer starken Verschlüsselung gegen das Auslesen und Fremdzugriff gesichert sein.
• Zugriffskontrolle: Es muss strikt geregelt sein, welche Mitarbeiter auf welche Daten Zugriff erhalten. Hier empfehlen sich sowohl ein „Least-Privilege-Access (LPA)“-Ansatz (User / Software) als auch ein „Zero Trust“-Konzept (Clients / Endgeräte).
• Logging & Monitoring: Alle sicherheitsrelevanten Ereignisse innerhalb des Netzwerks müssen protokolliert und kontinuierlich überwacht werden. Das ermöglicht sowohl die präventive Erkennung von möglichen Angriffen als auch nachträgliche Analysen zur Rekonstruktion von Datenlecks oder Compliance-Verstößen.

Organisatorische Maßnahmen

Organisatorisch und strukturell helfen folgende Maßnahmen in Sachen Datenschutz:

• Rollen- und Berechtigungskonzepte: Eine klare Rollenverteilung reduziert das Risiko von Fehlzugriffen. Verantwortlichkeiten und Zuständigkeiten sind zu dokumentieren und regelmäßig zu überprüfen. Generell empfiehlt sich die Ausarbeitung eines rollenbasierten Berechtigungskonzepts.
• Dokumentationspflichten und Prüfpfade: Die Einhaltung der Compliance-Vorgaben muss umfassend dokumentiert werden. Dazu gehören etwa Datenverarbeitungsverzeichnisse, Protokolle von Zugriffen, Risikoanalysen sowie Änderungs- und Freigabeprozesse. Digitale Prüfpfade sind hilfreich, um auf Nachfrage Nachweise gegenüber Behörden oder Kunden zu erbringen.
• Schulungen und Sensibilisierung: Regelmäßige und zielgruppengerechte Schulungen für Mitarbeiter, insbesondere zu Datenschutz, Phishing, Cybersicherheit, Passwortmanagement und sicherem Verhalten in der Cloud, können Verstößen gegen die Cloud Compliance-Vorgaben häufig vorbeugen. 

Begleitet werden sollten all diese Maßnahmen sowohl durch interne Kontrollen als auch im besten Falle durch externe Audits. So können Anbieter von SaaS-Diensten (gegenüber ihren Kunden) authentisch belegen, dass ihre Sicherheitszusagen auch tatsächlich das halten, was sie versprechen.

Cloud Compliance – Die Rolle des SaaS-Anbieters

Im Endeffekt steht und fällt die (Daten-)Sicherheit der eigenen Cloud – und damit auch die Frage der Konformität – mit der Auswahl des richtigen Anbieters. Folgende Aspekte sollten Kunden von einem Anbieter ihrer Wahl erwarten können.

Transparenz in der Zusammenarbeit

Ein vertrauenswürdiger SaaS-Anbieter informiert seine Kunden proaktiv über:

• eingesetzte Sicherheits- und Datenschutzmaßnahmen (TOMs)
• Speicherorte der Daten (z. B. Rechenzentren in der EU)
• vorhandene Zertifizierungen und Audit-Ergebnisse
• Notfallkonzepte und Wiederherstellungsstrategien

Unterstützung in Sachen Compliance

Neben der reinen Information der Kunden sollten gute Anbieter auch aktiv die Einhaltung individueller Compliance-Vorgaben unterstützen, etwa durch folgende Services:

• Möglichkeit zur Auswahl des Rechenzentrumsstandorts (z. B. Deutschland oder EU)
• Bereitstellung von Vertragsunterlagen wie AV-Verträge und Datenschutzfolgeabschätzungen
• Transparente Service Level Agreements (SLAs) zu Verfügbarkeit und Reaktionszeiten
• Zugriff auf Audit-Reports, Zertifizierungen (wie etwa ISO/IEC 27001) und Sicherheitsdokumentationen

Wichtig: Diese Punkte entscheiden nicht exklusiv über die Qualität eines Anbieters. Auf der anderen Seite sollte ein guter SaaS-Partner mindestens all diese Eigenschaften bzw. Leistungen bereitstellen, um für eine Zusammenarbeit in Betracht gezogen zu werden.

Cloud Compliance – Gemeinsam mit GFOS

Immer auf der sicheren Seite – GFOS ist Ihr Partner für Compliance in der Cloud. Mit unserer GFOS knownCloud und unserem breiten Portfolio an SaaS-Services unterstützen wir unsere Kunden weltweit dabei, ihre eigene IT fit für die Zukunft zu machen. Von der Industrie 4.0 bis zu zeitgemäßen HR-Prozessen helfen wir dabei, Ihnen sämtliche Vorteile des Cloud Computing näherzubringen, wobei Sie gleichzeitig die volle Kontrolle über Ihre Daten behalten.

Sichern Sie sich und Ihre IT erfolgreich ab – durch die Zusammenarbeit mit einem erfahrenen und nach ISO 27001 zertifizierten SaaS-Anbieter, der Ihnen die passende Lösung zu Ihren individuellen Anforderungen liefert. Kontaktieren Sie uns gerne für eine individuelle Beratung.