Cloud Computing – Auswirkungen auf Governance, Risk und Compliance

We are very sorry – the hardware failed

Zunehmende Internationalisierung, stetig wachsende IT-Anforderungen und erhöhter Kostendruck bringen Unternehmen dazu, ihre IT-Strategie auf die Integration von Cloud Computing zu überprüfen. Zudem verspricht Cloud Computing hohe Agilität, Flexibilität, Zuverlässigkeit, Sicherheit, Verfügbarkeit und Effizienz.

Für Unternehmen eröffnet sich das Potenzial, IT-Anforderungen bedarfsgerecht abzubilden und gleichzeitig die IT-Kosten deutlich zu reduzieren. Hohe einmalige Investitionskosten können durch die nutzungsorientierten Cloud Verrechnungsmodelle reduziert oder sogar vermieden werden. Aus fixen Kosten werden variable Kosten.

Die BITKOM spricht in ihrem Leitfaden Cloud Computing von einer „Revolution in der IT-Bereitstellung und -nutzung“. Dass Cloud Computing für viele Unternehmen integraler Bestandteil der IT-Strategie werden wird, fasst Forrester Research prägnant zusammen, mit der Aussage: „The cloud is here to stay“. Verschiedene Expertenkreise (BITKOM, IDC, Forrester Research) erwarten ein Wachstum im hohen zweistelligen Prozentbereich. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) erwartet, dass der Cloud Computing Markt 2014 die Grenze von 100 Milliarden Euro überschreiten wird.

Gleichzeitig versprechen Cloud Computing Anbieter wie zum Beispiel Amazon, IBM, Google, Microsoft und Salesforce.com komplexe Services innerhalb kürzester Zeit und flexibel skalierbar bereit zu stellen.

Eine wesentliche Frage, die sich aus den beschriebenen Entwicklungen ableitet, ist: Welche Auswirkungen erfordert Cloud Computing auf die Governance, Risk und Compliance Anforderungen der IT und damit auf das interne Kontrollsystem?

 

WE ARE VERY SORRY – THE HARDWARE FAILED

Am 24.04.2011 kam es zum größten Ausfall in der Cloud Computing Geschichte mit weltweiten Auswirkungen für Amazon EC2 Kunden. Ausfälle in einem Amazon Rechenzentrum haben zu nachhaltigem Datenverlust geführt. In einer von Amazon an die Kunden adressierten Mail heißt es hierzu:

“We are very sorry but ultimately our efforts to manually recover your volume were unsuccessful. The hardware failed in such a way that we could not forensically restore the data… We apologize for this volume loss and any impact to your business.

Sincerely,

Amazon Web Services, EBS"

 

EXEMPLARISCHE CLOUD RISIKEN

Der Vorfall bei Amazon verdeutlicht die mit Cloud Computing verbundenen Risiken und die sich daraus ergebenden negativen Konsequenzen. In diesem Artikel folgen weitere exemplarische Risiken, jeweils gefolgt von relevanten Governance, Risk und Compliance Fragen, die Sie als potentieller Cloud Kunde stellen sollten.

 

VERLUST DER IT-GOVERNANCE

Durch die Nutzung von Cloud Services tritt der Kunde eine Reihe von IT-Governance Aufgaben an den Cloud Provider ab. Dies hat eine Reihe von Vorteilen, birgt gleichzeitig allerdings auch Governance & Compliance Risiken.

Governance & Compliance relevante Fragen:

• Sind die Governance relevanten Rollen, Verantwortlichkeiten und Schnittstellen ausreichend definiert und vereinbart?
• Ist Cloud Computing in das unternehmenseigene IT Service Continuity Management integriert?
• Wie sind Kommunikations- und Eskalationsregeln für den Notfall definiert und abgestimmt?
• Wie ist der Cloud Provider in das Provider Management integriert?
• Stimmen Ihre Anforderungen (zum Beispiel: Availability, Backup & Restore) mit dem SLA des Cloud Providers überein?
• Wie ist das Change Management definiert?   

 

BEEINTRÄCHTIGUNG DES DATENSCHUTZES

Die Einbindung von Cloud Services erzeugt verschiedene Datenschutzrisiken. Für Cloud Kunden ist es eine Herausforderung, den wirksam kontrollierten Umgang mit Daten zu überprüfen und sicherzustellen, dass die Daten in rechtlich zulässiger Art und Weise verarbeitet werden.

Denn das Auslagern von Daten an Cloud Provider ist an datenschutzrechtliche Anforderungen gebunden. Im Leitfaden Cloud Computing der BITKOM heißt es hierzu:

„Handelt es sich bei den Daten, die an den Cloud Provider übermittelt werden sollen, um personenbezogene Daten, dürfen diese Daten an einen externen Cloud Provider nur übermittelt werden, wenn die Betroffenen ihre Einwilligung dafür gegeben haben oder ein gesetzlicher Erlaubnistatbestand vorliegt.“

Ausgenommen hiervon sind die sogenannten Auftragsdatenverarbeiter. Cloud Provider können unter Berücksichtigung gesetzlicher Anforderungen als Auftragsdatenverarbeiter betrachtet werden. Beispielsweise ist eine Voraussetzung dafür, dass der Cloud Provider nur innerhalb der EU bzw. des EWR (Europäischen Wirtschaftsraum) die ausgelagerten Daten erhebt, verarbeitet oder nutzt.

Eine weitere Herausforderung ist die Anforderung an die sichere Löschung der Daten, welche unter Umständen nicht im geforderten Maße gewährleistet werden kann. Hierfür gibt es zwei wesentliche Hinderungsgründe:

• Die in der Cloud verwendeten Datenträger werden auch noch durch andere Unternehmen genutzt und können daher nicht sicher gelöscht werden.
• Die Daten werden verteilt abgelegt.

 

GOVERNANCE & COMPLIANCE RELEVANTE FRAGEN:

• Welche Richtlinien und Verfahren sind etabliert, die das sichere Löschen von Daten gewährleisten?
• Innerhalb welcher Zeitspanne (SLA) verpflichtet sich der Cloud Provider, Daten sicher zu löschen bzw. zu zerstören?
• Werden die an den Cloud Provider ausgelagerten Daten ausschließlich innerhalb der EU bzw. des EWR erhoben, verarbeitet oder genutzt?

 

COMPLIANCE RISIKEN

Cloud Provider verteilen ihre Rechenzentren unter Umständen weltweit und lagern selber wieder Bereiche an Dritt-Anbieter aus. Dieses kann weitreichende Folgen für die Erfüllung von Compliance Anforderungen der Cloud Kunden haben. Insbesondere dann, wenn:

• Der Cloud Provider keinen Nachweis zur Erfüllung der relevanten Compliance Anforderungen liefern kann (zum Beispiel durch SAS 70 Typ II Zertifizierung mit offengelegtem internem Kontrollsystem).
• Der Cloud Provider keine vom Cloud Kunden beauftragten Audits zulässt.
• Die Auslagerungs-Strategie an Dritte durch den Cloud Provider intransparent ist.  

 

GOVERNANCE & COMPLIANCE RELEVANTE FRAGEN:

• Welche Möglichkeiten zur Auditierung sind vorhanden?
• Stimmen die Compliance Anforderungen mit dem Gerichtstand des Cloud Providers überein?
• Wie sind die vertraglichen Regelungen zur Weiterverlagerung von ausgelagerten Bereichen durch den Cloud Provider an einen Drittanbieter? 

 

BINDUNG AN DEN CLOUD PROVIDER

Derzeit gibt es nur bedingt Verfahrensweisen, die einen reibungslosen Wechsel zwischen den Cloud Providern oder das Zurückverlagern (backsourcing) in die unternehmenseigene IT ermöglichen. Dieses kann zu einer Abhängigkeit zum ausgewählten Cloud Provider führen, insbesondere dann, wenn eine Datenmigration nicht oder nur schwierig durchzuführen ist.

 

GOVERNANCE & COMPLIANCE RELEVANTE FRAGEN:

• Sind Strategien, die das Wechseln des Providers bzw. die Rückführbarkeit der ausgelagerten Services ermöglichen, geklärt?
• Welche Exit-Vereinbarungen (zum Beispiel zugesicherte Datenformate) bietet der Provider an? 

 

ZUSAMMENFASSUNG 

In einigen Fällen ist es möglich und sinnvoll, definierte Risiken auf den Cloud Provider zu übertragen. Jedoch können nicht alle Risiken übertragen werden. Sollte sich ein Risiko materialisieren und dazu führen, dass ein Unternehmen ernsthaften wirtschaftlichen Schaden oder Reputationsverlust erleidet, ist fraglich, ob der entstandene Schaden vom Cloud Provider angemessen ausgeglichen werden kann und wird. Es gilt der Grundsatz: Verantwortung lässt sich im Gegensatz zur Durchführung nicht outsourcen.

Die Integrierung von Cloud Computing erfordert die frühzeitige Betrachtung der veränderten IT-Risiken und die Etablierung von effektiven und effizienten IT-Kontrollen.

Die Verwendung von Standards und Frameworks (wie zum Beispiel COBIT, ITIL 27001, ISO 27002 und COSO) spielt hier eine entscheidende Rolle und erleichtert die spätere Auditierung. Bevor Sie sich für einen Cloud Provider entscheiden stellen Sie sicher, dass Sie die unterschiedlichen Cloud Anbieter bewertet und Transparenz geschaffen haben. Entscheiden Sie sich für den Anbieter, der am besten zu Ihrer IT-Strategie passt - unter Berücksichtigung der Governance, Risk und Compliance relevanten Punkten. Lagern Sie Ihre Services schrittweise in die Cloud aus – so sammeln Sie zunächst die notwendigen Erfahrungen.