Achten Sie auf die Cloud Compliance Ihres Providers!

Fabian Kaiser

Worauf achten Sie bei der Wahl eines Cloud-Anbieters? Wahrscheinlich auf IT-Sicherheit, Datensicherheit und Compliance. Gesetzliche Regelungen, relevante Standards und individuelle Vorgaben müssen schließlich eingehalten werden. Außerdem soll das alles für Sie nachprüfbar sein. Entsprechende Zertifizierungen sind hier ein wichtiges Indiz, doch Vorsicht: Die Unterschiede liegen im Detail – wie so häufig.

Wenn die genannten Kriterien Ihren Vorstellungen entsprechen, dann liegen Sie voll im Trend: Im Januar 2023 haben die Marktforscher von techconsult deutschlandweit 200 Cloud-Beauftragte in Unternehmen mit mindestens 50 Beschäftigten zum Thema Cloud Compliance befragt. Dabei stellte sich heraus, dass 60,5 Prozent der Befragten Compliance und Security extrem wichtig bei der Auswahl eines Cloud-Anbieters finden. Bei Unternehmen ab 500 Mitarbeitenden sind es sogar 74,6 Prozent. Darüber hinaus legt mehr als die Hälfte aller Befragten Wert darauf, dass die Daten in der EU verbleiben.

Was ist Cloud Compliance?

Cloud Compliance stellt sicher, dass gesetzliche, regulatorische und unternehmensspezifische Vorgaben und Richtlinien in der Cloud umgesetzt und eingehalten werden. Sie umfasst Aspekte wie Datenschutz, die ordnungsgemäße Aufbewahrung von Daten, Informationssicherheit sowie die Verfügbarkeit von Infrastrukturen, Lösungen und Services aus der Cloud. Darüber hinaus rücken die Themen Nachhaltigkeit und soziales Engagement zunehmend in den Fokus.

Zahlreiche Gesetze, Verordnungen und Normen enthalten Compliance-Anforderungen für das Cloud Computing. Die Speicherung und Verarbeitung personenbezogener Daten in der EU regelt beispielsweise die Datenschutz-Grundverordnung (DSGVO). Außerdem müssen Unternehmen das Lieferkettensorgfaltspflichtengesetz (LkSG) einhalten sowie das IT-Sicherheitsgesetz, das Telekommunikationsgesetz und das Telemediengesetz, um nur die wichtigsten zu nennen.

Cloud Compliance bei der Nutzung externer Dienste

Compliance im Cloud Computing betrifft in der Regel mehrere Akteure. Beim klassischen Eigenbetrieb von IT-Umgebungen haben Sie die volle Kontrolle über die verarbeiteten Daten und die verwendeten Systeme oder Netzwerke. Sie sind für die gesamte IT-Infrastruktur selbst verantwortlich, auch für die Einhaltung der IT-Compliance. Sobald Sie jedoch die Dienste einer Cloud-Computing-Plattform externer Anbieter in Anspruch nehmen oder mit einem Managed Service Provider zusammenarbeiten, verändern sich Ihre Kontrollmöglichkeiten und mitunter auch die Verantwortlichkeiten.

So werden die Daten zum Beispiel über externe Netze übertragen und in Rechenzentren des Cloud-Anbieters verarbeitet und gespeichert. Unter Umständen gelangen sie ins Ausland und in andere politische Einflusszonen. Mitunter ergeben sich komplexe Konstellationen, die eine Nachvollziehbarkeit der Datenflüsse und der beteiligten Dienstleister erschweren. Dies steht beispielsweise im Widerspruch zu den strengen Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) im Umgang mit personenbezogenen Daten.

Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs im Jahr 2020 gelten zum Beispiel die USA als unsicheres Drittland im Sinne der DSGVO. Dazu gehören auch andere Länder, die kein angemessenes Schutzniveau für personenbezogene Daten gewährleisten können. Das bedeutet, dass personenbezogene Daten Ihres Unternehmens dort nicht ohne größeren Aufwand gespeichert oder verarbeitet werden dürfen. Deshalb ist es wichtig, die Rechenzentrumsstandorte und den Firmensitz des künftigen Cloud-Anbieters zu prüfen. Diese sollten möglichst innerhalb der EU liegen. Internationale Konzernverflechtungen können zudem zu unzulässigen Datenflüssen in solche Regionen führen.

Allein dies zeigt schon, dass Sie für die Einhaltung der Compliance-Anforderungen transparente Informationen des Cloud-Betreibers benötigen. Dieser muss die Verantwortung für seine Infrastruktur übernehmen, also für die Standorte, die Hardware, das Netzwerk und die Einrichtungen, auf denen die Cloud-Dienste laufen.

Dazu sollte der Cloud-Anbieter sicherstellen und nachweisen können, dass seine Systeme grundlegende Cloud-Compliance-Anforderungen erfüllen. Es liegt in Ihrer Verantwortung als Cloud-Kunde zu prüfen, inwieweit der Anbieter die für Ihre Firma geltenden branchen- oder unternehmensspezifischen Richtlinien einhält. Um herauszufinden, ob ein Anbieter Ihre Cloud-Compliance-Richtlinien erfüllt, empfiehlt es sich, einen entsprechenden Fragenkatalog zu erarbeiten. Nachfolgend finden Sie einige zentrale Fragen zum Thema Cloud Compliance.

Diese Fragen zur Cloud Compliance sollten Sie stellen

  • Wer speichert und verarbeitet wo die Daten?
  • Gibt es Konzernverflechtungen in unsichere Länder und Regionen?
  • Sind weitere Dienstleister an der Leistungserbringung beteiligt?
  • Welche Netzwerke übertragen die Daten?
  • Wo und wie sind die Daten verschlüsselt?
  • Wer hat mit welchen Rechten Zugriff auf die Daten?
  • Welche Compliance-Standards unterstützt der Cloud-Anbieter?
  • Welche Zertifikate kann er von welcher Zertifizierungsstelle vorweisen?
  • Welche Dienste decken die Zertifikate ab?
  • Sind die Zertifikate aktuell?
  • Wie lässt sich die Cloud Compliance des Anbieters überwachen?
  • Existiert ein Compliance-Reporting?
  • Ist die Compliance vertraglich abgesichert?
  • Lassen sich individuelle Compliance-Anforderungen und SLA vertraglich festlegen?
  • Wie sehen die Regelungen nach Vertragsende aus?

Zertifikate: der erste Cloud-Compliance-Check

Für eine erste Überprüfung eines Cloud-Providers lohnt sich ein Blick auf dessen Zertifizierungen. Grundsätzlich gibt es zwei Varianten: Zertifikate von Drittanbietern, die nach eigenen Richtlinien die Dienste von Cloud-Anbietern analysieren. Dazu gehört zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinem Leitfaden für den IT-Grundschutz. Darüber hinaus haben sich vor allem normbasierte Zertifikate durchgesetzt, etwa für die Normenreihe ISO/IEC 27001 zum Informationssicherheits-Management.

Grundsätzlich sollten Sie bei diesen normbasierten Zertifikaten darauf achten, dass sie auch von einer akkreditierten Stelle erteilt wurden. In diesem Fall begutachtet, prüft und überwacht die nationale Akkreditierungsstelle deren fachliche Kompetenz. Längst nicht alle Zertifikate für Normengruppen stammen von solchen Stellen. Darüber hinaus benötigen Sie entsprechende Zertifizierungen entlang der gesamten Lieferkette: vom Cloud-Infrastruktur-Anbieter über Cloud Service Provider bis hin zu den Anbietern der ggf. darauf laufenden Software-as-a-Services (SaaS). Oft finden Sie auf den Webseiten der Anbieter nur die Logos der Standards, dann müssen Sie die ausstellende Stelle beim Anbieter erfragen. Manchmal werden auch PDFs der Zertifikate veröffentlicht, denen Sie die ausstellende Stelle entnehmen können.

Die wichtigsten Zertifizierungen für Cloud Provider

ISO/IEC 27001: allgemeine Informationssicherheit

Als am weitesten verbreitete Normenreihe für Cloud-Anbieter gilt ISO/IEC 27001/2: IT-Sicherheitsverfahren, Informationssicherheits-Management-Systeme, Anforderungen sowie Leitfäden für Informationssicherheits-Maßnahmen. Sie bezieht sich nicht nur auf Cloud Computing, sondern regelt generell die Informationssicherheit in IT-Umgebungen. Diese Zertifizierung erfordert unter anderem den Aufbau eines Informationssicherheits-Management-Systems (ISMS). Zudem müssen die Schritte der Informationsverarbeitung lückenlos dokumentiert werden. Auf diesen Standard stützt sich unter anderem auch der Kriterienkatalog C5 für Cloud Computing des BSI.

ISO/IEC 27017: Informationssicherheit von Cloud-Diensten

Die internationale Norm ISO/IEC 27017 verpflichtet Anbieter von Cloud-Dienstleistungen dazu, diese mit cloudspezifischen IT-Sicherheitsmaßnahmen abzusichern. Sie ist eine Erweiterung der ISO/IEC 27001 und ergänzt die Empfehlungen der ISO/IEC 27002 um einen IT-Sicherheitsleitfaden für Cloud Computing. Dieser enthält entsprechende Security-Maßnahmen und cloudspezifische Kontrollmechanismen. Mit der Zertifizierung erbringen Cloud-Services-Anbieter den Nachweis für sichere Übertragungen.

ISO/IEC 27018: Datenschutz in der Cloud

Eine Zertifizierung nach ISO/IEC 27018 ist eine auf Cloud-Services zugeschnittene Erweiterung der ISO/IEC 27001 und enthält Aspekte des Datenschutzes beim Cloud Computing. Auch hier steht der Aufbau eines ISMS im Vordergrund. Die Prozesse, Verfahren und Maßnahmen sind jedoch auf die datenschutzrechtlichen Cloud-Computing-Anforderungen angepasst. Beispielsweise gilt es hier nicht mehr als positiv, wenn der Administrator möglichst viele Vorgänge einsehen und nachvollziehen kann, wie es in ISO/IEC 27001/27002 der Fall ist. Die Anforderungen der DSGVO sind damit aber noch nicht vollständig erfüllt.

ISO/IEC 27701: künftig inklusive Datenschutz-Management-System

Die neue Erweiterung von ISO/IEC 27001 versieht das klassische Informationssicherheits-Management-System mit einem zusätzlichen Datenschutz-Management-System. Dieses Datenschutz-Management-System ist zwar nicht gleichzusetzen mit einer DSGVO-Zertifizierung nach Artikel 42 der DSGVO. Doch sie eröffnet die Chance, den DSGVO-konformen Umgang mit personenbezogenen Daten nachzuweisen. Da eine Zertifizierung nach Artikel 42 DSGVO erst seit 2022 möglich ist, befindet sich das Netz an entsprechend akkreditierten Stellen noch im Aufbau. Aus diesem Grund können derzeit nur wenige Anbieter diese Zertifizierung vorweisen.

SOC-2-Typ-II-Report nach ISAE 3402: Internes Kontrollsystem für ausgelagerte rechnungslegungsrelevante Prozesse

Über die Normenreihe ISO/IEC 27001 hinaus lassen sich einige Cloud-Anbieter von einer unabhängigen Wirtschaftsprüfungsgesellschaft nach ISAE 3402 (ISAE: International Standards for Assurance Engagements) prüfen. Ein Service-Organization-Control-Bericht (z.B. SOC 2 Typ II) gemäß der AICPA Trust Services Criteria bestätigt, dass der Provider über ein effizientes internes Kontrollsystem hinsichtlich der an ihn ausgelagerten rechnungslegungsrelevanten Geschäftsprozesse und IT-Services verfügt. Der Prüfungsbericht dokumentiert den Umfang und die Angemessenheit der internen Kontrollen anhand von normativen Vorgaben und entsprechenden Kontrollparametern für Sicherheit, Verfügbarkeit, Integrität und Datenschutz.

ISO 9001: Qualitätsmanagement

Darüber hinaus sollten Sie die allgemeinen Prozesse des Anbieters unter die Lupe nehmen. Eine Zertifizierung nach ISO 9001 garantiert beispielsweise, dass er über ein geprüftes und überwachtes Qualitätsmanagementsystem verfügt. Das gewährleistet, dass er seine Prozesse kontinuierlich optimiert, um die Unternehmensleistung zu verbessern und die Kundenanforderungen bestmöglich zu erfüllen.

ISO 22301: Business-Continuity-Management

Ein Business-Continuity-Management-System (BCMS) nach ISO 22301 zielt darauf ab, den Fortbestand des Unternehmens in Krisen- und Notfallsituationen auch bei großen Schäden zu sichern. Es sorgt dafür, dass wichtige Prozesse geschützt und die Auswirkungen auf kritische Geschäftsfunktionen minimal sind. Nach unerwarteten Unterbrechungen sollen die Geschäftsprozesse möglichst schnell wieder in den Normalbetrieb übergehen können. ISO 22301 definiert hierzu Anforderungen für die Planung, den strukturierten Aufbau, die Implementierung, die Überwachung sowie die Verbesserung eines BCMS.

Wie die Einhaltung der DSGVO in der Cloud gelingt

Die ISO/IEC 27701 eignet sich zwar zur Überprüfung der Einhaltung der DSGVO, ist aber nicht explizit dafür ausgelegt ist. Daher gibt es seit einigen Jahren Bestrebungen, europaweit einheitliche Datenschutz-Zertifizierungen zu etablieren. Diese sollen explizit auf die DSGVO ausgerichtet sein. Vereinzelt haben Unternehmen hierzu bereits Zertifizierungen entwickelt, z. B. die EuroPriSe GmbH mit dem „European Privacy Seal“. Auch das Kompetenznetzwerk Trusted Cloud will mit seinem vom Bundeswirtschaftsministerium geförderten Projekt AUDITOR eine EU-weite Datenschutzzertifizierung von Cloud-Diensten durch akkreditierte Stellen umsetzen. Das neue Zertifizierungsverfahren befindet sich nach Angaben des Vereins derzeit im Genehmigungsverfahren bei der deutschen Akkreditierungsstelle, ist also noch Zukunftsmusik.

Doch wie erkennen Sie in der Zwischenzeit Cloud-Anbieter, die Ihnen eine DSGVO-konforme Lösung bieten? Das beginnt mit der Prüfung der Standorte und Konzernverflechtungen. Darüber hinaus sollte mindestens eine Zertifizierung nach ISO/IEC 27018 vorliegen und ein alternatives Datenschutz-Audit wie zum Beispiel Check 28. Daran lässt sich erkennen, ob ein Anbieter datenschutzrechtliche Kompetenz besitzt.

Weitere Orientierungshilfen für die Wahl der Cloud-Plattform

Neben Zertifikaten können Sie auch Selbstauskünfte der Cloud-Anbieter bei der Auswahl heranziehen. So hat die Cloud Security Alliance (CSA) beispielsweise mit dem Consensus Assessments Initiative Questionnaire (CAIQ) einen Fragebogen mit knapp 280 Fragen entwickelt, um die Compliance von Cloud-Anbietern anhand von Best Practices zu bewerten. Zahlreiche Anbieter haben diesen bereits beantwortet und auf der CSA-Plattform zur Verfügung gestellt.

So finden Sie einen sicheren Cloud-Anbieter

Wenn Sie einen potenziellen Anbieter für sich gefunden haben, werfen Sie einen genauen Blick auf die angepriesenen Zertifikate. Fordern Sie – falls vorhanden und für Sie relevant – den SOC 2 Typ II Report des Providers an. Prüfen Sie den Scope, also den Umfang der Zertifizierungen. Oft sind nur einzelne Produkte, Standorte oder Prozesse zertifiziert.

Darüber hinaus sollten Sie das Prinzip der geteilten Verantwortung (Shared Responsability) kennen und überblicken: Bei allen verbrieften Zertifikaten ist es klar, dass ein Anbieter nur für seine eigenen Services sowie die eigene Infrastruktur und Cloud-Plattform verantwortlich sein kann. Wird zum Beispiel über einen lokalen Cloud-Anbieter auf eine der großen Public-Cloud-Plattformen (AWS, Google Cloud Platform, Microsoft Azure) zugegriffen, sollten sowohl der lokale Anbieter als auch die großen entsprechende Sicherheits- und Business-Continuity-Maßnahmen installiert haben. Sie als Kunde sind dagegen in den meisten Fällen verantwortlich für sichere Webapplikationen, für Ihre in der Cloud verarbeiteten Daten sowie das Berechtigungsmanagement. Es liegt auch in Ihrer Verantwortung, ob ein Disaster Recovery oder Hochverfügbarkeitslösungen in das Business-Continuity-Management integriert werden sollen oder nicht.

Last but not least sei erwähnt, dass Anbieter, die über alle oder einen Großteil der genannten Zertifikate verfügen, durch ihre Fokussierung und ihre Erfahrung oft ein höheres Sicherheitsniveau erreichen, als Sie es selbst im Eigenbetrieb gewährleisten können. In vielen Fällen bieten sie sogar zusätzlich buchbare Cyber Security Services wie Penetration Testing, Security Consulting oder ein Cyber Defence Center an.

Sicherheit ist wichtig, aber längst nicht alles

Wie die techconsult-Umfrage zeigt, spielen Informationssicherheit und Datenschutz eine zentrale Rolle bei der Auswahl eines Cloud-Providers. Ebenso wichtig ist für 60 Prozent der Befragten jedoch die Performance und Stabilität der Cloud. 49,5 Prozent von ihnen sehen in einem guten Preis-Leistungs-Verhältnis ein entscheidendes Kriterium. Darüber hinaus legen 40,5 Prozent großen Wert auf die Innovationskraft des Anbieters und jeweils rund 30 Prozent der Befragten zählen das Engagement in puncto Nachhaltigkeit sowie soziales Engagement zum Pflichtprogramm bei der Auswahl eines Cloud-Providers. Die beiden letztgenannten Kriterien rücken immer stärker in den Fokus von Unternehmen und erweitern die bisher vielerorts auf Sicherheitsthemen beschränkte Compliance-Perspektive.

Hier klicken und die wichtigsten Ergebnisse der Umfrage "Cloud Compliance" herunterladen

Sie möchten sich genauer über das Thema IT-Compliance und Informationssicherheit informieren? Schreiben Sie uns: de-info@claranet.com

Geschrieben von Fabian Kaiser - Head of Security & Compliance

Fabian Kaiser verantwortet den Bereich Informationssicherheit und Compliance bei Claranet Deutschland. Seit 2012 ist er CISO und lebt diese Rolle im Unternehmen. Fabian teilt sein umfangreiches Wissen zu Security & Compliance in der Cloud auf Vortragsveranstaltungen und in Expertenrunden.

Fabian Kaiser kontaktieren: