Cloud Computing

Compliance als Enabler für den sicheren Einsatz von Cloud-Diensten

Vertrauen und Transparenz als strategischer Erfolgsfaktor

Cloud Computing ist heutzutage ein fester Bestandteil jeder modernen IT-Infrastruktur. Dabei birgt Cloud Computing für Anbieter und Nutzer neben zahlreichen Vorteilen wie hoher Flexibilität und geringerer Komplexität auch einige Herausforderungen. Diese ergeben sich aus zwei Gegebenheiten, die dem Cloud Computing-Paradigma fundamental zugrunde liegen. Zum einen impliziert Cloud Computing als IT-Nutzungsmodell, dass nun statt des Cloud-Nutzers der Cloud-Anbieter bestimmte Schichten des IT-Stacks, wie etwa die physischen Server, das Netzwerk oder die Virtualisierungsschicht betreibt. Zum anderen ist es meist erforderlich, dass der Cloud-Nutzer bestimmte Daten an den Cloud-Anbieter überträgt, sodass diese dort gespeichert und verarbeitet werden können. 

Cloud-Nutzer bleiben für den ordnungsgemäßen Betrieb verantwortlich

Cloud-Nutzer bleiben jedoch auch für den ordnungsgemäßen Betrieb der ausgelagerten Teile ihrer IT verantwortlich. Da das Durchführen von Audits bei Cloud-Anbietern jedoch selten praktikabel ist, sind Cloud-Nutzer auf anderweitige Maßnahmen angewiesen, um ihrer Verantwortung für den ausgelagerten Teil ihrer IT und die übertragenen Daten nachzukommen. 

Eine zentrale Rolle nehmen hier Prüfberichte ein, die von vertrauenswürdigen, unabhängigen Dritten, meist Wirtschaftsprüfern, ausgestellt werden. Sie führen anstelle der Cloud-Nutzer Prüfungen durch und stellen entsprechende Prüfberichte, auch Third Party Assurance Reports genannt, aus. Diese Berichte erleichtern es Cloud-Nutzern, die beim Cloud-Anbieter etablierten Betriebsprozesse sowie die Wirksamkeit eingerichteter Sicherheitsmaßnahmen nachzuvollziehen.

Vertrauen und Transparenz sind das Fundament und ein zentraler Erfolgsfaktor für den nachhaltige Nutzen von Cloud Computing – für Nutzer und Anbieter gleichermaßen.

PwC bietet maßgeschneiderte Dienstleistungen für Cloud-Anbieter und Cloud-Nutzer

Für Cloud-Anbieter

Wir haben umfangreiche Erfahrung mit Cloud-Compliance-Projekten und haben uns auf die Prüfschemen BSI C5 sowie SOC 1 (ISAE 3402), SOC 2 (AICPA TSC) und SOC 3 spezialisiert. Zudem befassen wir uns in Projekten mit ISO/IEC 2700x, ISO 9001 sowie ISO/IEC 20000 und 22301 BCM.

Entsprechende Projekte führen wir sowohl für große, international aufgestellte als auch kleinere und mittelgroße Cloud-Anbieter durch. Dabei kombinieren wir die Prüfungen optimal, um den Aufwand so gering wie möglich zu halten und das Tagesgeschäft so wenig wie möglich zu beeinflussen.

Während bei größeren Cloud-Anbietern meist die mehrdimensional integrierten Compliance-Programme im Vordergrund stehen, unterstützen wir kleinere und mittelgroße Anbieter oft dabei, den Reifegrad (Readiness) ihres Kontrollsystems beispielsweise hinsichtlich BSI C5 zu bestimmen und das entsprechende Prüfungsprojekt aufzusetzen.

Besonderer Fokus: Datenschutz für Cloud Service Provider

Besonders für Cloud-Anbieter war es bislang schwierig, sich von unabhängigen Stellen bescheinigen zu lassen, dass ihre einzelnen Cloud-Dienste besonderen Datenschutz-Anforderungen gem. Datenschutz-Grundverordnung (DSGVO) gerecht werden. An dieser Stelle setzt das Forschungsprojekt „AUDITOR“ (European Cloud Service Data Protection Certification) an. Ziel ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutz-Zertifizierung von Cloud-Diensten gem. Art. 42 DSGVO, die Datenverarbeitungsvorgänge im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO durchführen.

Mehr erfahren

Für Cloud-Nutzer

Beim Einsatz von Cloud-Diensten ist es essentiell, die Compliance-bezogenen Aspekte sorgfältig zu analysieren und zu berücksichtigen. Daraus entsteht unter anderem die Herausforderung, das IT-bezogene Kontrollsystemen so auszurichten und anzupassen, dass es die Veränderungen im IT-Risikoprofil abdeckt. Diese sind größtenteils individuell und hängen beispielsweise vom Cloud-Anbieter, von der Art des Dienstes und dem Einsatzszenario ab.

Aufgrund unserer umfangreichen Erfahrung mit IT-bezogenen Kontrollsystemen sowie Cloud-spezifischen Risiken, können wir Cloud-Nutzer dabei unterstützen, geeignete Cloud-Anbieter auszuwählen, Audits bei Cloud-Anbietern zu planen und durchzuführen oder bestehende Cloud Governance-Prozesse zu überprüfen und zu aktualisieren. Zudem beraten wir zu den Themen Datenschutz-Grundverordnung (EU-DSGVO, engl. General Data Protection Regulation, GDPR) sowie Risikomanagement und Compliance.

„Vertrauen und Transparenz sind die Grundpfeiler der erfolgreichen und regelkonformen Cloud-Nutzung. Daher sind Compliance-Berichte wie SOC 2 und BSI C5 wichtige – und vor allem verlässliche – Informationsquellen, die Nutzer in ihre Beschaffungs- und Steuerungsprozesse einbinden sollten.“

Markus Vehlow,Partner, Risk Assurance Solutions PwC Deutschland

Contact us

Markus Vehlow

Markus Vehlow

Partner, Risk Assurance Solutions, PwC Germany

Follow us