Auf dem Weg in die Cloud kann für Unternehmen die Einhaltung von Compliance-Vorgaben nicht nur technisch, sondern auch organisatorisch eine Herausforderung sein. Der Einsatz geeigneter Tools und Werkzeuge kann hierbei die Komplexität bei der Sicherstellung von Compliance in der Cloud reduzieren und die Einhaltung gesetzlicher Vorgaben und deren Anforderungen maßgeblich unterstützen. Im Folgenden zeigen wir am Beispiel Microsoft 365 auf, wie insbesondere Tools von Cloud Service Providern beim Compliance Management helfen können.
Cloud Service Provider stellen bereits Bordmittel für die IT-Compliance zur Verfügung. In diesem Artikel betrachten wir beispielhaft Microsofts Lösung, die einen ersten Ansatz zum strukturierten Vorgehen bietet, um den Unternehmensanforderungen hinsichtlich Konformität und Einhaltung von branchenspezifischen und regionalen Standards, Gesetzen und Vorschriften gerecht zu werden.
Compliance in der Cloud – typische Fragen
Befindet man sich nun in einer Phase, in der eine Applikation outgesourct werden soll, ergeben sich daraus zwangsläufig Fragen und daraus resultierende Aktivitäten für die IT-Compliance:
- Welche neuen Compliance-Vorgaben ergeben sich im Rahmen des Outsourcings der Applikation?
- Welche technischen Einstellungen sind vorzunehmen, um die eingesetzte Applikation gesetzeskonform und sicher nutzen zu können?
- Stimmen die getroffenen Sicherheitsmaßnahmen sowie das Identitäts- und Berechtigungsmanagement?
- Welche Prozesse und Dokumentationen sind aktuell und welche müssen angepasst werden? Wo muss gegebenenfalls nachgesteuert und aktualisiert werden?
Compliance-Toolbeispiel: Microsoft Cloud
Microsoft bietet im Rahmen von Microsoft 365 und seinem Cloud-Portfolio den sogenannten „Compliance Manager“ an. Dieser Service ist Microsofts Antwort auf die Frage, wie IT-Sicherheit und Compliance für Cloud-basierte Applikationen in Angriff genommen werden können. Er versteht sich als Bordmittel und Hilfestellung zur Einhaltung der IT-Compliance in der Microsoft-365-Umgebung.
Dieses Tool, das sich in das administrative Backend der Microsoft-Umgebung einbettet, biete eine Möglichkeit, die eigenen Compliance-Prozesse und -Einstellungen auf den Prüfstand stellen.
Mit den sogenannten „Bewertungsvorlagen“ bietet Microsoft den Ausgangspunkt für Prüf-Aktivitäten. Diese umfassen separate Bewertungskataloge mit Fokus auf verschiedene Zertifizierungen, (nationale) Vorschriften und Gesetze.
Dabei können einzelne Einstellungen und Maßnahmen vorgenommen werden, um bestimmte Compliance-Anforderungen zu erfüllen. Diese Einzelelemente werden mit verschieden starker Punktegewichtung gruppiert dargestellt. Daraus ergibt sich ein konsolidierter Compliance-Score-Wert.
Microsofts Maßnahmenvorschläge bzw. Handlungsempfehlungen orientieren sich an Best Practices. Es werden zudem erweiterte Sicherheitsfunktionen aufgezeigt, um etwaige Risiken zu minimieren, die durch das Outsourcing entstanden sind.
So ist zum Beispiel der BSI Cloud Computing Compliance Criteria Catalogue (BSI C5) bei den Bewertungskatalogen enthalten. Dieser beschreibt als Kriterienkatalog die Mindestanforderungen an die Informationssicherheit für Cloud-Services. Der BSI C5 ist zudem ein relevanter Bestandteil des Compliance-Nachweises für KRITIS-Unternehmen.
Im Finanzsektor stellt die BaFin mit der Bankaufsichtlichen Anforderungen an die IT (BAIT) die konkretisierten Rahmenbedingungen für eine sichere Informationsverarbeitung und Informationstechnik dar. Die BAIT ist ebenfalls als Bewertungsvorlage vorhanden und kann damit als Grundlage dienen, die Vorgaben der BaFin abzudecken.
Sicherheit und Compliance in der Cloud stellen prinzipiell eine Teilung der Verantwortlichkeiten zwischen Cloud Service Provider und dem Kunden dar. Während hierbei der Cloud Service Provider beispielsweise Vorgaben hinsichtlich physischer Rechenzentrumssicherheit einzuhalten hat, ist der Kunde, der die Cloud-basierten Services in Anspruch nimmt, für Konfiguration und das Sicherstellen geeigneter Zugriffsschutzmaßnahmen und daraus resultierender Dokumentationspflichten verantwortlich. Entsprechend sind bei Microsoft im Compliance-Score-Wert Punkte, für deren Erfüllung der Kunde verantwortlich ist und Punkte, für deren Erfüllung der Provider verantwortlich ist, getrennt dargestellt.
Über den Compliance Manager ist eine Nachverfolgung von Aktionen und die Zuweisung von Aktivitäten an bestimmte Personen möglich. Nach erfolgter Prüfung können einzelne Verbesserungsaktionen mit einem Teststatus und einer Notiz versehen, oder relevante Dokumente angehängt werden, wie etwa Prüfergebnisse oder Nachweise.
Der Compliance Manager zielt zwar grundsätzlich auf die eigenen Services von Microsoft ab, muss aber nicht zwangsläufig nur dafür genutzt werden. Auch für Drittanbieter-Applikationen ist eine Nutzung möglich.
Compliance-Tools anderer Cloud Service Provider
Andere Cloud Service Provider verfolgen einen ähnlichen Ansatz: zum Beispiel unterstützt Amazon in seinen Amazon Web Services (AWS) seine Kunden mit Tools und Werkzeugen für die Sicherstellung von Sicherheit und Compliance in der Cloud: durch Nutzung von verschiedenen AWS-Services und Verwaltungskonsolen wird die (teils automatisierte) Prüfung auf Einhaltung branchenspezifischer Vorgaben durchgeführt, damit Sicherheits- und Compliance-Anforderungen sichergestellt werden können.
Fazit
Vor und während der Nutzung von Cloud Services kann Tool-Unterstützung in Form von – durch den Cloud Service Provider gestellte – Compliance Services den Aufwand im Compliance Management mindern und helfen, die Compliance-Vorgaben des eigenen Unternehmens sicherzustellen. Insbesondere können sie auch dabei helfen, Maßnahmen auf regelmäßiger Basis zu prüfen und erforderliche Aktualisierungen durchzuführen.
Cloud Services nutzende Unternehmen sind allerdings selbst dafür verantwortlich, dass bei ihnen geltende Compliance-Gesetze und Vorschriften eingehalten werden. Das heißt, dass sie selbst ein angemessenes Compliance Management etablieren müssen, in dem die Compliance-Tools der Cloud Service Provider nur ein Baustein sein können, der zudem noch auf die eigenen Anforderungen anzupassen ist. In diesem Sinne ist ein Tool wie der Microsoft Compliance Manager keine absolute „Checkliste“, jedoch ein gutes Basiswerkzeug für den Einstieg und ein strukturelles Vorgehen.
