Article

Cloud-Risiken und Compliance

Die Marktlage verstehen – die Anforderungen erfüllen

IT-Systemfehler, Stromausfälle, Insiderbetrug, Cyberangriffe durch kriminelle Banden und feindliche Staaten, ... die Liste der Risiken, mit denen Unternehmen konfrontiert werden, ist lang. Die Nichteinhaltung gesetzlicher und regulatorischer Anforderungen stellt ein weiteres großes Risiko dar. Die Folgen sind Bußgelder und andere empfindliche Strafen, die von den Behörden auferlegt werden. Diese können weit gravierender sein als der Schaden, der durch andere Ereignisse im Zusammenhang mit operationellen Risiken verursacht wurde.

Operative und Compliance-Risiken des Outsourcings verstehen

Mit der Verlagerung von Diensten in die Cloud werden einige der Risikomanagementaufgaben an den Cloud-Dienstleister (Cloud Service Provider) übertragen. Dabei wird lediglich das Management der Risiken übertragen, die Verantwortung für die tatsächlichen Risiken bleiben weiterhin bei dem Unternehmen, nicht beim Cloud Service Provider. Das operative Risikomanagement des Unternehmens muss daher die besonderen Umstände berücksichtigen, die sich durch die Nutzung von Cloud-Diensten ergeben.

Ein wichtiger Bestandteil des Risikomanagements sollte die Klassifizierung der Informations-Assets sein - wie geistiges Eigentum, Kundendatenbanken und Finanzinformationen, damit deren Risiken gemanagt werden können; die Aufnahme eines Auditrechts der Cloud-Umgebung in den Vertrag; eine Exit-Strategie mit entsprechenden Vertragsbedingungen; ein Business Continuity Plan, der den gesamten Umfang der Cloud-Dienste abdeckt; Verfahren und Kontrollen des IT-Service-Managements; und ein neu gestaltetes Betriebsmodell, um sicherzustellen, dass die richtige Teamstruktur und -fähigkeiten für die Verwaltung der Cloud-Dienste vorhanden sind.

Cyber Security

Cyber-Risiken bedürfen einer besonderen Aufmerksamkeit. Die Sicherheitsvorkehrungen müssen streng sein. Die Gefahr, dass Eindringlinge Zugang zu IT-Systemen im Internet und sogar zu geschlossenen Systemen erhalten, zwingt Unternehmen, die Sicherheit zu verbessern. Cyber Angriffe, welche die Verteidigung von Unternehmen durchbrechen, erfolgen nach wie vor. Unternehmen müssen sich daher über die allgemeinen Cyber-Bedrohungen im Klaren sein, welche spezifischen Bedrohungen sich beim Wechsel in die Cloud ergeben könnten und welche zusätzlichen Sicherheitsmaßnahmen ergriffen werden sollten. Außerdem müssen sie die Cybersicherheitsverfahren des Cloud-Anbieters bewerten, um sicherzustellen, dass sie den Bedürfnissen des eigenen Unternehmens entsprechen.

Gesetzliche und regulatorische Vorschriften

Die Einhaltung der nationalen Gesetze und Vorschriften im Hinblick auf den Umgang mit Daten ist eine Herausforderung, der sich Unternehmen stellen müssen. Wem gehören die Daten? In welchen Ländern werden die Daten gespeichert? Wer darf auf die in einem anderen Land gespeicherten Daten zugreifen? Daten, die in der Cloud und auf anderen Internetplattformen abgelegt werden, unterliegen den Gesetzen und Vorschriften des Landes, in welchem die Daten gespeichert sind. Die Europäische Union hat ebenfalls Vorschriften definiert, die für Daten gelten, die außerhalb ihres Hoheitsgebiets gespeichert sind. Die im Mai 2018 in Kraft getretene EU-Datenschutzgrundverordnung (EU-DSGVO, engl. GDPR) soll den Datenschutz für EU-Bürger verbessern, deren Daten von Organisationen erhoben, gespeichert und verarbeitet werden. Der Geltungsbereich der Verordnung erstreckt sich zudem auf Unternehmen, deren Server außerhalb der EU liegen, sofern diese Server Daten von EU-Bürger enthalten. Die umfänglichen Auswirkungen der EU-DSGVO müssen verstanden und berücksichtigt werden.

Wesentliche Handlungsempfehlungen

  1. Für die Cloud sollte ein Risikomanagement-Rahmenwerk innerhalb der Organisation etabliert werden. Es ist wichtig, die Betriebs- und Compliance-Risiken durch Outsourcing zu verstehen.
  2. Eine umfassende Berücksichtigung aller Risiken und regulatorischen Komplexitäten stellt sicher, dass Unternehmen die gewünschten Vorteile der Cloud nutzen können.
  3. Eine angemessene Sorgfaltspflicht sollte grundlegend für jede Outsourcing-Initiative sein, um die wesentlichen Risiken zu verstehen und Kontrollen bereits in dem Vertrag einzubetten. Das Lieferantenrisiko muss hierbei ebenfalls berücksichtigt werden.
  4. Das Risiko, dass Außenstehende Zugang zu IT-Systemen erhalten, zwingt Unternehmen, ihre Sicherheit zu verbessern. Das Cyber-Risiko bedarf dabei besonderer Aufmerksamkeit. Dabei sind Sicherheitsvorkehrungen strikt zu definieren.
  5. Die Einhaltung der nationalen Gesetze und Vorschriften für Daten ist ein heikles Unterfangen, das angegangen werden muss. Ein besonderes Augenmerk sollte dabei der EU-DSGVO gelten.

>> Zurück zum Hauptartikel